Elektronická knihovna legislativního procesu - textová podoba dokumentu

Upozornění: Text přílohy byl získán strojově a nemusí přesně odpovídat originálu. Zejména u strojově nečitelných smluv, kde jsme použili OCR. originál dokumentu stáhnete odsud

Teze prováděcích právních předpisů k navrhované právní úpravě

K návrhu zákona o kybernetické bezpečnosti je navrhováno vydání pěti podzákonných prováděcích předpisů – vyhlášek. K jejich vydání je návrhem zákona zmocněn Národní úřad pro kybernetickou a informační bezpečnost. Těmito vyhláškami jsou:

Vyhláška o regulovaných službách 2
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností 29
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností 66
Vyhláška o Portálu Úřadu a požadavcích na vybrané úkony 79
Vyhláška o nepominutelných funkcích stanoveného rozsahu 83

Vyhláška o regulovaných službách upravuje kritéria pro identifikaci regulovaných služeb, stanovení režimů poskytovatelů regulovaných služeb, pokud byla jejich regulovaná služba identifikována podle vyhlášky a také specifická kritéria pro identifikaci strategicky významných služeb.
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností vymezuje jak obsah a rozsah bezpečnostních opatření (která dělí na organizační a technická).
Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností, která obsahuje obsah a rozsah bezpečnostních opatření, přičemž na rozdíl od předchozí uvedené vyhlášky neobsahuje lokalizaci informací a dat, ale naopak zahrnuje způsob stanovení významnosti dopadu kybernetického bezpečnostního incidentu.
Vyhláška o Portálu Úřadu obsahuje zejména druhy a způsoby hlášení údajů poskytovatelů regulované služby a kybernetických bezpečnostních incidentů.
Vyhláška o nepominutelných funkcích stanoveného rozsahu uvádí kritické funkce rozsahu aktiv, na které se vztahuje řízení kybernetické bezpečnosti podle zákona.

Vyhláška o regulovaných službách

Návrh
VYHLÁŠKA
ze dne dd.mm.rrrr,
o regulovaných službách
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 4 odst. 2, § 8 odst. 2 a § 25 odst. 1 zákona č. [bude doplněno], o kybernetické bezpečnosti (dále jen „zákon“):
§ 1
Předmět právní úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie[footnoteRef:1] a upravuje [1: Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).]

a) seznam služeb a vymezení podmínek významnosti poskytovatele regulované služby (§ 4 odst. 2 zákona),
b) rozdělení poskytovatelů regulovaných služeb do režimů (§ 8 odst. 2 zákona) a
c) služby, které splňují podmínky strategicky významné služby (§ 25 odst. 1 zákona).
§ 2
Vymezení pojmů
(1) Pro účely této vyhlášky se rozumí
a) klasifikací CZ-NACE klasifikace ekonomických činností podle sdělení Českého statistického úřadu č. 244/2007 Sb., o zavedení Klasifikace ekonomických činností,
b) citlivou výzkumnou činností činnost zaměřená na výzkum a vývoj vojenského materiálu uvedeného v seznamu vojenského materiálu podle zákona o zahraničním obchodu s vojenským materiálem,
c) výzkumnou institucí orgán nebo osoba, jejímž hlavním cílem je provádět aplikovaný výzkum[footnoteRef:2] za účelem využití výsledků tohoto výzkumu pro komerční účely, který ovšem nezahrnuje vzdělávací instituce. [2: § 2 odst. 1 písm. b) zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu a vývoje)]

d) výměnným uzlem internetu síťové zařízení umožňující propojení více než dvou nezávislých sítí (autonomních systémů), a to primárně pro účely umožnění výměny dat zasílaných prostřednictvím internetu; výměnný uzel internetu poskytuje propojení pouze autonomním systémům a nevyžaduje, aby data zasílaná prostřednictvím internetu mezi kterýmikoli dvěma zúčastněnými autonomními systémy procházela přes jakýkoli třetí autonomní systém, ani zasílaná data nemění ani žádným jiným způsobem do jejich zasílání nezasahuje,
e) poskytovatelem služeb systému překladu doménových jmen orgán nebo osoba, která poskytuje
i) veřejně dostupné rekurzivní služby pro překlad doménových jmen koncovým uživatelům internetu, nebo
ii) autoritativní služby pro překlad doménových jmen pro použití třetí stranou, s výjimkou kořenových jmenných serverů.
(2) Pro účely této vyhlášky se částky uvedené v měně euro přepočtou na českou měnu podle průměrného kurzu vyhlášeného Českou národní bankou pro posuzovaný kalendářní rok, nebo pro posuzované období v případě, že jsou hodnoceny údaje za část kalendářního roku.
§ 3
Podmínky pro registraci regulované služby
Podmínky pro registraci regulované služby podle § 4 odst. 2 zákona splňuje služba, která
a) je uvedena v příloze této vyhlášky a
b) je vykonávána osobou splňující podmínku významnosti poskytovatele regulované služby uvedené v příloze této vyhlášky.
§ 4
Režim poskytovatele regulované služby odpovídající konkrétní regulované službě
(1) Příloha této vyhlášky stanoví rozdělení poskytovatelů regulovaných služeb do režimů.
(2) V případě, že poskytovatel regulované služby naplní v souvislosti s jednou službou zároveň podmínky pro registraci regulované služby odpovídající režimu vyšších i nižších povinností, je režimem poskytovatele regulované služby pro tuto regulovanou službu režim vyšších povinností.
§ 5
Regulované služby splňující podmínky strategicky významné služby
(1) Strategicky významnou službou v odvětví veřejná správa je
a) výkon svěřených pravomocí vykonávaný orgánem nebo osobou uvedenou v příloze k této vyhlášce v odvětví 1. Veřejná správa, služby 1.1. Výkon svěřených pravomocí, bod I. písm. a) až k).
(2) Strategicky významnou službou v odvětví energetika je
a) výroba elektřiny v rámci výrobny s celkovým instalovaným elektrickým výkonem nejméně 100 MW vykonávaná držitelem licence na výrobu elektřiny podle energetického zákona,
b) provoz přenosové soustavy elektřiny vykonávaný držitelem licence na přenos elektřiny podle energetického zákon,
c) provoz distribuční soustavy elektřiny v rámci celé distribuční soustavy elektřiny s přenosovou kapacitou nejméně 220 MW vykonávaný držitelem licence na distribuci elektřiny podle energetického zákona,
d) provoz ropovodu vykonávaný provozovatelem ropovodu podle zákona o nouzových zásobách ropy,
e) provoz produktovodu vykonávaný provozovatelem produktovodu podle zákona o nouzových zásobách ropy,
f) provoz přepravní soustavy plynu vykonávaný držitelem licence na přepravu plynu podle energetického zákona,
g) provoz distribuční soustavy plynu v rámci celé distribuční soustavy plynu s licencovanou přenosovou kapacitou nejméně 1 000 MW vykonávaný držitelem licence na distribuci plynu podle energetického zákona.
(3) Strategicky významnou službou v odvětví doprava je
a) řízení letového provozu nad vzdušným prostorem České republiky vykonávané provozovatelem služby řízení letového provozu v převážné části vzdušného prostoru České republiky podle přímo použitelného předpisu Evropské unie[footnoteRef:3], [3: Nařízení Evropského parlamentu a Rady (ES) č. 549/2004 ze dne 10. března 2004, kterým se stanoví rámec pro vytvoření jednotného evropského nebe]

b) letové navigační služby vykonávané poskytovatelem letových navigačních služeb podle přímo použitelného předpisu Evropské unie[footnoteRef:4], v případě, že je určeným a osvědčeným poskytovatelem meteorologických služeb podle přímo použitelného předpisu Evropské unie[footnoteRef:5] s působností pro poskytování meteorologických informací pro potřeby letectví v celé České republice, [4: Nařízení Evropského parlamentu a Rady (ES) č. 549/2004 ze dne 10. března 2004, kterým se stanoví rámec pro vytvoření jednotného evropského nebe.] [5: Čl. 7 a čl. 9 nařízení Evropského parlamentu a Rady č. 550/2004 ze dne 10. března 2004, o poskytování letových navigačních služeb v jednotném evropském nebi.]

c) stavění vlakových cest vykonávané osobou poskytující službu stavění vlakových cest na celostátní úrovni.
(4) Strategicky významnou službou v odvětví digitální infrastruktura a služby je
a) poskytování veřejně dostupné služby elektronických komunikací v rozsahu služeb přístupu k internetu a interpersonálních komunikačních služeb, vykonávané osobou poskytující veřejně dostupnou službu elektronických komunikací podle zákona o elektronických komunikacích, která disponuje nejméně 350 000 aktivních mobilních SIM karet nebo nejméně 100 000 aktivních pevných internetových přípojek na území České republiky,
b) zajišťování veřejné komunikační sítě elektronických komunikací, vykonávané osobou poskytující veřejně dostupnou službu elektronických komunikací podle zákona o elektronických komunikacích, která disponuje nejméně 350 000 aktivních mobilních SIM karet nebo nejméně 100 000 aktivních pevných internetových přípojek na území České republiky,
c) správa a provoz registru internetových domén nejvyšší úrovně vykonávaná osobou spravující a provozující registr domény nejvyšší úrovně,
d) poskytování služby cloud computingu nejvyšší bezpečnostní úrovně vykonávané poskytovatelem státního cloud computingu podle zákona o informačních systémech veřejné správy[footnoteRef:6]. [6: § 6i odst. 1 písm. a) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých zákonů, ve znění pozdějších předpisů]

§ 6
Účinnost
Tato vyhláška nabývá účinnosti dnem dd.mm.rrrr.

Ředitel:
Ing. Lukáš Kintr v. r.

Příloha k vyhlášce č. [bude doplněno] Sb.
Veřejná správa a výkon veřejné moci
Regulovaná služba

Služba

Podmínky významnosti poskytovatele regulované služby a jeho režim

Výkon svěřených pravomocí
Orgán nebo osoba je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je
a) ústředním orgánem státní správy,
b) jiným správním úřadem s celostátní působností neuvedeným v písm. a), a to včetně ústředí a generálního ředitelství územně dekoncentrovaných (specializovaných) orgánů státní správy,
c) Kanceláří prezidenta republiky,
d) Kanceláří Senátu,
e) Kanceláří Poslanecké sněmovny,
f) Českou národní bankou,
g) Policejním prezidiem,
h) útvarem policie s celostátní působností,
i) Generální inspekcí bezpečnostních sborů
j) Generálním ředitelstvím hasičského záchranného sboru,
k) krajským ředitelstvím hasičského záchranného sboru,
l) Kanceláří Veřejného ochránce práv,
m) Nejvyšším kontrolním úřadem,
n) Úřadem pro zastupování státu ve věcech majetkových
o) Správou úložišť radioaktivních odpadů,
p) orgánem soudní moci,
q) státním zastupitelstvím,
r) zdravotní pojišťovnou,
s) krajem, nebo
t) hlavním městem Praha.
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je
a) územně dekoncentrovaným (specializovaným) orgánem státní správy,
b) profesní komorou[footnoteRef:7], [7: Nevztahuje se na regionální struktury profesních komor.]

c) vysokou školou,
d) Akademií věd České republiky, nebo
e) obcí s rozšířenou působností,
f) městskou části hlavního města Prahy, na kterou byl přenesen výkon působnosti dle zákona o hlavním městě Praze[footnoteRef:8]. [8: § 32 zákona č. 131/2000 Sb., o hlavním městě Praze]

Energetika – Elektřina
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba elektřiny
Držitel licence na výrobu elektřiny podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) disponuje výrobnou s celkovým instalovaným elektrickým výkonem nejméně 100 MW,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že
a) je středním podnikem, nebo
b) disponuje výrobnou s celkovým instalovaným elektrickým výkonem nejméně 50 MW, avšak méně než 100 MW.

Provoz přenosové soustavy elektřiny
Držitel licence na přenos elektřiny podle energetického zákona je poskytovatel regulované služby v režimu vyšších povinností.

Provoz distribuční soustavy elektřiny
Držitel licence na distribuci elektřiny podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) jeho přenosová kapacita distribuční soustavy je nejméně 220 MW,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že
a) je středním podnikem, nebo
b) jeho přenosová kapacita distribuční soustavy je nejméně 120 MW, avšak méně než 220 MW.

Obchod s elektřinou
Držitel licence na obchod s elektřinou podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) počet jeho odběrných a předávacích míst je za poslední dostupný kalendářní rok průměrně alespoň 50 000,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že
a) je středním podnikem, nebo
b) počet jeho odběrných a předávacích míst je za poslední dostupný kalendářní rok průměrně alespoň 10 000, avšak méně než 50 000.

Výkon činnosti nominovaného organizátora trhu s elektřinou
Držitel licence na činnosti operátora trhu podle energetického zákona je poskytovatel regulované služby v režimu vyšších povinností.

Výkon činnosti agregace
Agregátor podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Výkon činnosti ukládání elektřiny
Držitel licence na ukládání elektřiny podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Výkon činnosti odezvy strany poptávky
Provozovatel odezvy strany poptávky podle příslušného předpisu Evropské unie[footnoteRef:9] je [9: Směrnice Evropského parlamentu a Rady (EU) 2019/944 ze dne 5. června 2019 o společných pravidlech pro vnitřní trh s elektřinou a o změně směrnice 2012/27/EU]

I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz veřejně přístupné dobíjecí stanice
Provozovatel veřejně přístupné dobíjecí stanice podle zákona o pohonných hmotách, který je odpovědný za správu a provoz dobíjecí stanice, která poskytuje službu dobíjení koncovým uživatelům, a to i jménem a na účet poskytovatele mobility, je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Výkon činnosti Elektroenergetického datového centra
Držitel licence na činnost Elektroenergetického datového centra podle energetického zákona je poskytovatelem regulované služby v režimu vyšších povinností.

Energetika – Ropa a ropné produkty
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Těžba ropy
Provozovatel zařízení na těžbu ropy je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Zpracovávání ropy
Provozovatel zařízení na zpracování ropy je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz skladovacího zařízení
Provozovatel skladovacího zařízení pro skladování ropy je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) disponuje zásobníkem nebo komplexem zásobníků s celkovou kapacitou nejméně 40 000 m3,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz ropovodu
Provozovatel ropovodu podle zákona o nouzových zásobách ropy je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz produktovodu
Provozovatel produktovodu podle zákona o nouzových zásobách ropy je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Výkon činnosti ústředního správce zásob
Ústřední správce zásob podle zákona o nouzových zásobách ropy je poskytovatel regulované služby v režimu vyšších povinností.

Provoz čerpací stanice pohonných hmot
Provozovatel čerpací stanice podle zákona o pohonných hmotách je poskytovatel regulované služby v režimu nižších povinností, v případě, že provozuje alespoň 100 čerpacích stanic na území České republiky.

Energetika – Plynárenství
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba plynu
Držitel licence na výrobu plynu podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz přepravní soustavy plynu
Držitel licence na přepravu plynu podle energetického zákona je poskytovatel regulované služby v režimu vyšších povinností.

Provoz distribuční soustavy plynu
Držitel licence na distribuci plynu podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Obchod s plynem
Držitel licence pro obchod s plynem podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Uskladňování plynu
Držitel licence na uskladňování plynu podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) provozuje podzemní zásobník plynu s projektovanou instalovanou kapacitou nejméně 200 mil. m3
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Energetika – Teplárenství
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba tepelné energie
Držitel licence na výrobu tepelné energie podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) disponuje zdrojem tepelné energie s celkovým instalovaným tepelným výkonem nejméně 200 MW,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz soustavy zásobování tepelnou energií
Držitel licence na rozvod tepelné energie podle energetického zákona je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) disponuje soustavou zásobování tepelnou energií s celkovou přenosovou kapacitou nejméně 160 MW,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Energetika – Vodík
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba vodíku
Výrobce vodíku je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Skladování vodíku
Osoba zajišťující skladování vodíku je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Přeprava vodíku
Osoba zajišťující přepravu vodíku je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Výrobní průmysl
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba počítačů, elektronických a optických přístrojů a zařízení
Výrobce počítačů, elektronických a optických přístrojů a zařízení ve smyslu oddílu 26 klasifikace CZ-NACE, který je velkým nebo středním podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Výroba elektrických zařízení
Výrobce elektrických zařízení ve smyslu oddílu 27 klasifikace CZ-NACE, který je velkým nebo středním podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Výroba strojů a zařízení nezařazená pod jiné oddíly klasifikace CZ-NACE
Jinde nezařazený výrobce strojů a zařízení ve smyslu oddílu 28 klasifikace CZ-NACE, který je velkým nebo středním podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Výroba motorových vozidel (kromě motocyklů), přívěsů a návěsů
Výrobce motorových vozidel, přívěsů a návěsů ve smyslu oddílu 29 klasifikace CZ-NACE je
I. poskytovatel regulované služby v režimu vyšších povinností v případě, že sériově vyrábí osobní motorová vozidla,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je velkým nebo středním podnikem.

Výroba ostatních dopravních prostředků a zařízení
Výrobce ostatních dopravních prostředků a zařízení ve smyslu oddílu 30 klasifikace CZ-NACE, který je velkým nebo středním podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Potravinářský průmysl
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba potravin
Potravinářský podnik podle přímo použitelného předpisu Evropské unie[footnoteRef:10], který se zabývá průmyslovou výrobou potravin, je poskytovatel regulované služby v režimu nižších povinností, v případě, že je velkým podnikem nebo středním podnikem. [10: čl. 3 bod 2 Nařízení Evropského parlamentu a Rady (ES) č. 178/2002 ze dne 28. ledna 2002, kterým se stanoví obecné zásady a požadavky potravinového práva, zřizuje se Evropský úřad pro bezpečnost potravin a stanoví postupy týkající se bezpečnosti potravin]

Zpracování potravin
Potravinářský podnik podle přímo použitelného předpisu Evropské unie[footnoteRef:11], který se zabývá průmyslovým zpracováním potravin, je poskytovatel regulované služby v režimu nižších povinností, v případě, že je velkým podnikem nebo středním podnikem. [11: čl. 3 bod 2 Nařízení Evropského parlamentu a Rady (ES) č. 178/2002 ze dne 28. ledna 2002, kterým se stanoví obecné zásady a požadavky potravinového práva, zřizuje se Evropský úřad pro bezpečnost potravin a stanoví postupy týkající se bezpečnosti potravin]

Distribuce potravin
Potravinářský podnik podle přímo použitelného předpisu Evropské unie[footnoteRef:12], který se zabývá velkoobchodní distribucí potravin, je poskytovatel regulované služby v režimu nižších povinností, v případě, že je velkým podnikem nebo středním podnikem. [12: čl. 3 bod 2 Nařízení Evropského parlamentu a Rady (ES) č. 178/2002 ze dne 28. ledna 2002, kterým se stanoví obecné zásady a požadavky potravinového práva, zřizuje se Evropský úřad pro bezpečnost potravin a stanoví postupy týkající se bezpečnosti potravin]

Chemický průmysl
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba chemických látek podléhajících registraci
Výrobce látky podléhající registraci podle přímo použitelného předpisu Evropské unie[footnoteRef:13] je [13: Nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 ze dne 18. prosince 2006 o registraci, hodnocení, povolování a omezování chemických látek, o zřízení Evropské agentury pro chemické látky, o změně směrnice 1999/45/ES a o zrušení nařízení Rady (EHS) č. 793/93, nařízení Komise (ES) č. 1488/94, směrnice Rady 76/769/EHS a směrnic Komise 91/155/EHS, 93/67/EHS, 93/105/ES a 2000/21/ES]

I. poskytovatel regulované služby v režimu vyšších povinností v případě, že je výrobcem nebezpečných látek v množství stejném nebo větším, než je množství uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 3 tabulky I nebo II,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že
a) je velkým podnikem,
b) je střední podnikem, nebo
c) je výrobcem nebezpečných látek v množství stejném nebo větším, než je množství uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 2 tabulky I nebo II.

Distribuce chemických látek podléhajících registraci
Distributor látky podléhající registraci podle přímo použitelného předpisu Evropské unie[footnoteRef:14] je [14: Nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 ze dne 18. prosince 2006 o registraci, hodnocení, povolování a omezování chemických látek, o zřízení Evropské agentury pro chemické látky, o změně směrnice 1999/45/ES a o zrušení nařízení Rady (EHS) č. 793/93, nařízení Komise (ES) č. 1488/94, směrnice Rady 76/769/EHS a směrnic Komise 91/155/EHS, 93/67/EHS, 93/105/ES a 2000/21/ES]

I. poskytovatel regulované služby v režimu vyšších povinností v případě, že je distributorem nebezpečných látek v množství stejném nebo větším, než je množství uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 3 tabulky I nebo II,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že
a) je velkým podnikem,
b) je střední podnikem, nebo
c) je distributorem nebezpečných látek v množství stejném nebo větším, než je množství uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 2 tabulky I nebo II.

Výroba předmětů z látek podléhajících registraci
Výrobce předmětu z látky podléhající registraci podle přímo použitelného předpisu Evropské unie[footnoteRef:15] je [15: Nařízení Evropského parlamentu a Rady (ES) č. 1907/2006 ze dne 18. prosince 2006 o registraci, hodnocení, povolování a omezování chemických látek, o zřízení Evropské agentury pro chemické látky, o změně směrnice 1999/45/ES a o zrušení nařízení Rady (EHS) č. 793/93, nařízení Komise (ES) č. 1488/94, směrnice Rady 76/769/EHS a směrnic Komise 91/155/EHS, 93/67/EHS, 93/105/ES a 2000/21/ES]

I. poskytovatel regulované služby v režimu vyšších povinností v případě, že vyrábí předměty z nebezpečných látek v množství stejném nebo větším, než je množství uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 3 tabulky I nebo II,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že
a) je velkým podnikem,
b) je středním podnikem, nebo
c) vyrábí předměty z nebezpečných látek v množství stejném nebo větším, než je množství uvedené v příloze č. 1 k zákonu o prevenci závažných havárií v sloupci 2 tabulky I nebo II.

Užívání objektu za účelem umístění nebezpečné látky
Provozovatel objektu podle zákona o prevenci závažných havárií, který je současně středním nebo velkým podnikem, je
I. poskytovatel regulované služby v režimu vyšších povinností v případě, že je provozovatelem objektu zařazeného do skupiny B,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že je provozovatelem objektu zařazeného do skupiny A.

Vodní hospodářství
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Provozování vodovodu
Provozovatel vodovodu podle zákona o vodovodech a kanalizacích je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) v předchozích 3 kalendářních letech zásoboval pitnou vodou průměrně alespoň 50 000 obyvatel,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provozování kanalizace
Provozovatel kanalizace podle zákona o vodovodech a kanalizacích je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) v předchozích 3 kalendářních letech poskytoval služby odvádění nebo čištění odpadních vod průměrně alespoň 50 000 obyvatel,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Odpadové hospodářství
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Provoz zařízení určeného pro nakládání s odpady
Provozovatel zařízení určeného pro nakládání s odpady podle zákona o odpadech, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Obchodování s odpadem
Obchodník s odpady podle zákona o odpadech, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Zprostředkování nakládání s odpadem
Zprostředkovatel nakládání s odpady podle zákona o odpadech, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Přeprava odpadu
Dopravce odpadu podle zákona o odpadech, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Letecká doprava
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Provoz letecké dopravy
Letecký dopravce podle zákona o civilním letectví je
I) poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) za předchozí 3 kalendářní roky průměrně přepravil alespoň 500 000 cestujících ročně,
II) poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz letiště
Provozovatel mezinárodního letiště podle zákona o civilním letectví s dočasným či trvalým vyhrazeným bezpečnostním prostorem podle přímo použitelného předpisu Evropské unie[footnoteRef:16] je [16: Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy ]

I) poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem, nebo
b) za předchozí 3 kalendářní roky průměrně odbavil alespoň 150 000 cestujících ročně,
II) poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz pomocných zařízení v rámci letiště
Provozovatel pomocných zařízení v rámci mezinárodního letiště podle zákona o civilním letectví s dočasným či trvalým vyhrazeným bezpečnostním prostorem podle přímo použitelného předpisu Evropské unie[footnoteRef:17] je [17: Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy
Směrnice Evropského parlamentu a Rady 2009/12/ES ze dne 11. března 2009 o letištních poplatcích]

I) poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II) poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Služba řízení letového provozu ve vzdušném prostoru České republiky
Provozovatel služby řízení letového provozu v převážné části vzdušného prostoru České republiky podle přímo použitelného předpisu Evropské unie[footnoteRef:18] je poskytovatel regulované služby v režimu vyšších povinností. [18: Nařízení Evropského parlamentu a Rady (ES) č. 549/2004 ze dne 10. března 2004, kterým se stanoví rámec pro vytvoření jednotného evropského nebe]

Bezpečnostní kontrola týkající se nákladu nebo poštovních zásilek
Schválený agent podle přímo použitelného předpisu Evropské unie[footnoteRef:19], který je velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností. [19: Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy ]

Služba odesílání nákladu nebo poštovních zásilek
Známý odesílatel podle přímo použitelného předpisu Evropské unie[footnoteRef:20], který je velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností. [20: Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy ]

Služba dodávek palubních zásob
Schválený dodavatel palubních zásob podle přímo použitelného předpisu Evropské unie[footnoteRef:21], který je velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností. [21: Nařízení Evropského parlamentu a Rady (ES) č. 300/2008 ze dne 11. března 2008 o společných pravidlech v oblasti ochrany civilního letectví před protiprávními činy.]

Služba při odbavovacím procesu
Poskytovatel služby při odbavovacím procesu na letišti podle zákona o civilním letectví, který je velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Letové navigační služby
Poskytovatel letových navigačních služeb podle přímo použitelného předpisu Evropské unie[footnoteRef:22], který není regulován pro regulovanou službu podle bodu 12.4., je [22: Nařízení Evropského parlamentu a Rady (ES) č. 549/2004 ze dne 10. března 2004, kterým se stanoví rámec pro vytvoření jednotného evropského nebe.]

I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je určeným a osvědčeným poskytovatelem meteorologických služeb podle přímo použitelného předpisu Evropské unie[footnoteRef:23] s působností pro poskytování meteorologických informací pro potřeby letectví v celé České republice, [23: Čl. 7 a čl. 9 nařízení Evropského parlamentu a Rady č. 550/2004 ze dne 10. března 2004, o poskytování letových navigačních služeb v jednotném evropském nebi.]

II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je velkým podnikem.

Drážní doprava
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Stavění vlakových cest
Osoba poskytující službu stavění vlakových cest na celostátní úrovni je poskytovatel regulované služby v režimu vyšších povinností.

Provoz celostátní dráhy
Provozovatel celostátní dráhy podle zákona o dráhách je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem.
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz regionální dráhy
Provozovatel regionální dráhy podle zákona o dráhách je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem.
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz veřejně přístupné vlečky
Provozovatel veřejně přístupné vlečky podle zákona o dráhách je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz drážní dopravy na celostátní dráze
Provozovatel drážní dopravy na celostátní dráze podle zákona o dráhách, s výjimkou provozovatele drážní dopravy, který neprovádí přepravu osob, věcí či zvířat nebo neposkytuje trakci[footnoteRef:24], je [24: Směrnice Evropského parlamentu a Rady 2012/34/EU ze dne 21. listopadu 2012 o vytvoření jednotného evropského železničního prostoru]

Provoz drážní dopravy na regionální dráze
Provozovatel drážní dopravy na regionální dráze podle zákona o dráhách, s výjimkou provozovatele drážní dopravy, který neprovádí přepravu osob, věcí či zvířat nebo neposkytuje trakci[footnoteRef:25], je [25: Směrnice Evropského parlamentu a Rady 2012/34/EU ze dne 21. listopadu 2012 o vytvoření jednotného evropského železničního prostoru]

Provoz drážní dopravy na veřejně přístupné vlečce
Provozovatel drážní dopravy na veřejně přístupné vlečce podle zákona o dráhách, s výjimkou provozovatele drážní dopravy, který neprovádí přepravu osob, věcí či zvířat nebo neposkytuje trakci[footnoteRef:26], je [26: Směrnice Evropského parlamentu a Rady 2012/34/EU ze dne 21. listopadu 2012 o vytvoření jednotného evropského železničního prostoru]

Provoz zařízení služeb
Provozovatel zařízení služeb podle zákona o dráhách je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Vodní doprava
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výkon činnosti námořní vodní dopravy
Osoba vykonávající činnost námořní vodní dopravy podle přímo použitelného předpisu Evropské unie[footnoteRef:27], je [27: Nařízení Evropského parlamentu a Rady (ES) č. 725/2004 ze dne 31. března 2004, o zvýšení bezpečnosti lodí a přístavních zařízení]

Provoz řídícího orgánu přístavu nebo provoz díla nebo zařízení v rámci přístavu
Řídící orgán přístavu podle příslušného předpisu Evropské unie[footnoteRef:28] nebo osoba provozující dílo nebo zařízení v rámci přístavů je [28: Směrnice Evropského parlamentu a Rady 2005/65/ES ze dne 26. října 2005 o zvýšení zabezpečení přístavů]

Provoz služby lodní dopravě (VTS)
Provozovatel služby lodní dopravě (VTS) podle příslušného předpisu Evropské unie[footnoteRef:29] je [29: Směrnice Evropského parlamentu a Rady 2002/59/ES ze dne 27. června 2002, kterou se stanoví kontrolní a informační systém Společenství pro provoz plavidel a kterou se zrušuje směrnice Rady 93/75/EHS]

Silniční doprava
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Kontrola řízení provozu
Osoba vykonávající správu pozemní komunikace podle zákona o pozemních komunikacích je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Provoz inteligentního dopravního systému
Poskytovatel služby inteligentního dopravního systému podle zákona o pozemních komunikacích je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Digitální infrastruktura a služby
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Poskytování veřejně dostupné služby elektronických komunikací
Osoba poskytující veřejně dostupnou službu elektronických komunikací podle zákona o elektronických komunikacích je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem,
b) je středním podnikem,
c) je poskytovatelem veřejně dostupné služby elektronických komunikací skrze nejméně 350 000 aktivních mobilních SIM karet na území České republiky, nebo
d) je poskytovatelem nejméně 100 000 aktivních pevných internetových přípojek na území České republiky,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že
a) je malým podnikem, nebo
b) je mikropodnikem.

Zajišťování veřejné komunikační sítě
Osoba zajišťující veřejnou komunikační síť podle zákona o elektronických komunikacích je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem,
b) je středním podnikem,
c) je poskytovatelem veřejně dostupné služby elektronických komunikací skrze nejméně 350 000 aktivních mobilních SIM karet na území České republiky, nebo
d) je poskytovatelem nejméně 100 000 aktivních pevných internetových přípojek na území České republiky,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že
a) je malým podnikem, nebo
b) je mikropodnikem.

Poskytování služby výměnného uzlu internetu
Poskytovatel služby výměnného uzlu internetu je poskytovatel regulované služby v režimu vyšších povinností.

Poskytování služby systému překladu doménových jmen
Poskytovatel služeb systému překladu doménových jmen je poskytovatel regulované služby v režimu vyšších povinností v případě, že
a) aktivně poskytuje veřejně dostupné rekurzivní služby pro překlad doménových jmen koncovým uživatelům internetu,
b) poskytuje autoritativní služby pro překlad doménových jmen pro použití třetí stranou pro více než 10 000 domén druhého řádu.

Správa a provoz registru domény nejvyšší úrovně
Osoba spravující a provozující registr domény nejvyšší úrovně je poskytovatel regulované služby v režimu vyšších povinností.

Poskytování služby cloud computingu
Poskytovatel služby cloud computingu je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem,
b) je poskytovatelem státního cloud computingu podle zákona o informačních systémech veřejné správy[footnoteRef:30], [30: § 6i odst. 1 písm. a) zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých zákonů, ve znění pozdějších předpisů]

II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Poskytování služby datového centra
Poskytovatel služby datového centra, s výjimkou poskytovatele, který tuto službu poskytuje jako součást regulované služby podle bodu 16.6, je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Poskytování služby sítě pro doručování obsahu
Poskytovatel služby sítě pro doručování obsahu je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Správa kvalifikovaného systému elektronické identifikace
Kvalifikovaný správce systému elektronické identifikace podle zákona o elektronické identifikaci je poskytovatel regulované služby v režimu vyšších povinností.

Poskytování služby vytvářející důvěru
Poskytovatel služby vytvářející důvěru podle přímo použitelného předpisu Evropské unie[footnoteRef:31] je [31: Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu]

I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je
a) kvalifikovaným poskytovatelem služby vytvářející důvěru, nebo
b) nekvalifikovaným poskytovatelem služby vytvářející důvěru a zároveň velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě že je nekvalifikovaným poskytovatelem a zároveň středním podnikem, malým podnikem, nebo mikropodnikem.

Poskytování řízené služby
Poskytovatel řízené služby, s výjimkou služby naplňující kritéria pro identifikaci regulované služby podle bodu 16.12, poskytující tuto službu podnikatelům je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Poskytování řízené bezpečnostní služby
Poskytovatel řízené bezpečnostní služby poskytující tuto službu podnikatelům je
I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností, v případě, že je středním podnikem.

Poskytování služby on-line tržiště
Poskytovatel služby on-line tržiště podle zákona upravujícího ochranu spotřebitele, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Poskytování služby internetového vyhledávače
Poskytovatel služby internetového vyhledávače ve smyslu přímo použitelného právního předpisu Evropské unie[footnoteRef:32], který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností. [32: Čl. 2 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2019/1150 ze dne 20. června 2019 o podpoře spravedlnosti a transparentnosti pro podnikatelské uživatele online zprostředkovatelských služeb]

Poskytování platformy sociální sítě
Poskytovatel platformy sociální sítě, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností.

Provozování Národního CERT
Provozovatel národního CERT podle zákona o kybernetické bezpečnosti je poskytovatel regulované služby v režimu vyšších povinností.

Finanční trh
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výkon činnosti úvěrové instituce
Úvěrová instituce podle přímo použitelného předpisu Evropské unie[footnoteRef:33], která je středním nebo velkým podnikem je poskytovatel regulované služby v režimu vyšších povinností. [33: Nařízení Evropského parlamentu a rady (EU) č. 575/2013 ze dne 26. června 2013 o obezřetnostních požadavcích na úvěrové instituce a investiční podniky a o změně nařízení (EU) č. 648/2012]

Provoz obchodního systému
Provozovatel obchodního systému podle zákona o podnikání na kapitálovém trhu, který je středním nebo velkým podnikem je poskytovatel regulované služby v režimu vyšších povinností.

Výkon činnosti ústřední protistrany
Ústřední protistrana podle přímo použitelného předpisu Evropské unie[footnoteRef:34], která je středním nebo velkým podnikem je poskytovatel regulované služby v režimu vyšších povinností. [34: Nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů]

Výkon činnosti platební instituce
Platební instituce podle zákona o platebním styku[footnoteRef:35] je oskytovatel regulované služby v režimu vyšších povinností, v případě, že její roční průměrný objem provedených platebních transakcí za dobu předchozích tří kalendářních let přesahuje částku odpovídající 40 000 000 000 EUR. [35: § 7 zákona č. 370/2017 Sb., o platebním styku]

Výkon činnosti instituce elektronických peněz
Instituce elektronických peněz podle zákona o platebním styku[footnoteRef:36] je poskytovatel regulované služby v režimu vyšších povinností, v případě, že její roční průměrný objem vydaných elektronických peněz za dobu předchozích tří kalendářních let přesahuje částku odpovídající 20 000 000 000 EUR. [36: § 66 zákona č. 370/2017 Sb., o platebním styku]

Zdravotnictví
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Poskytování zdravotní péče
Poskytovatel zdravotní péče[footnoteRef:37] podle zákona o zdravotních službách je [37: § 2 zákona č. 372/2011 Sb., o zdravotních službách]

I. poskytovatel regulované služby v režimu vyšších povinností, v případě, že
a) je velkým podnikem,
b) v předchozích 3 kalendářních letech disponoval průměrně alespoň 270 lůžky akutní péče,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Organizační složka státu zřízená ústředním orgánem státní správy, jíž bylo uděleno oprávnění k poskytování zdravotní péče ve smyslu zákona o zdravotních službách[footnoteRef:38], je poskytovatel regulované služby v režimu vyšších povinností. [38: § 16 zákona č. 372/2011 Sb., o zdravotních službách]

Poskytování zdravotnické záchranné služby
Poskytovatel zdravotnické záchranné služby podle zákona o zdravotnické záchranné službě[footnoteRef:39] je poskytovatel regulované služby v režimu vyšších povinností. [39: § 8 odst. 1 zákona č. 374/2011 Sb., o zdravotnické záchranné službě]

Výkon činnosti referenční laboratoře EU zahrnuté do sítě referenčních laboratoří pro oblast veřejného zdraví
Referenční laboratoř Evropské unie podle přímo použitelného předpisu Evropské unie[footnoteRef:40] zahrnutá do sítě referenčních laboratoří pro oblast veřejného zdraví je [40: Čl. 15 Nařízení EU ze dne 23. listopadu 2022 o vážných přeshraničních zdravotních hrozbách a o zrušení rozhodnutí č. 1082/2013/EU]

I. poskytovatel regulované služby v režimu vyšších povinností v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Výzkum a vývoj léčivých přípravků
Zadavatel klinických hodnocení podle přímo použitelného předpisu Evropské unie[footnoteRef:41] je [41: Nařízení Evropského parlamentu a Rady (EU) č. 536/2014 ze dne 16. dubna 2014 o klinických hodnoceních humánních léčivých přípravků a o zrušení směrnice 2001/20/ES]

Výroba léčivých přípravků pro humánní použití s výjimkou výrobních operací v rozsahu certifikace šarží, sekundárního balení, chemické/fyzikální kontroly jakosti a dovozu léčivých přípravků
Výrobce léčivých přípravků pro humánní použití podle zákona o léčivech je
I. poskytovatel regulované služby v režimu vyšších povinností v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Výroba léčivých látek
Výrobce léčivých látek podle zákona o léčivech je
I. poskytovatel regulované služby v režimu vyšších povinností v případě, že je velkým podnikem,
II. poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Výroba zdravotnických prostředků
Výrobce zdravotnických prostředků podle přímo použitelného předpisu Evropské unie[footnoteRef:42] je poskytovatel regulované služby v režimu nižších povinností v případě, že je velkým podnikem nebo středním podnikem. [42: Nařízení Evropského parlamentu a Rady (EU) 2017/745 ze dne 5. dubna 2017 o zdravotnických prostředcích, změně směrnice 2001/83/ES, nařízení (ES) č. 178/2002 a nařízení (ES) č. 1223/2009 a o zrušení směrnic Rady 90/385/EHS a 93/42/EHS]

Výroba diagnostických zdravotnických prostředků in vitro
Výrobce diagnostických zdravotnických prostředků in vitro podle přímo použitelného předpisu Evropské unie[footnoteRef:43] je poskytovatel regulované služby v režimu nižších povinností v případě, že je velkým nebo středním podnikem. [43: Nařízení Evropského parlamentu a Rady (EU) 2017/746 ze dne 5. dubna 2017 o diagnostických zdravotnických prostředcích in vitro a o zrušení směrnice 98/79/ES a rozhodnutí Komise 2010/227/EU]

Výroba zdravotnických prostředků považovaných za kriticky důležité v případě mimořádné situace v oblasti veřejného zdraví
Výrobce zdravotnických prostředků uvedených na seznamu kriticky důležitých zdravotnických prostředků při mimořádné situaci v oblasti veřejného zdraví podle přímo použitelného předpisu Evropské unie[footnoteRef:44] je [44: Čl. 22 Nařízení Evropského parlamentu a Rady (EU) 2022/123 ze dne 25. ledna 2022 o posílené úloze Evropské agentury pro léčivé přípravky při připravenosti na krize a krizovém řízení v oblasti léčivých přípravků a zdravotnických prostředků]

Věda, výzkum a vzdělávání
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výzkum a vývoj
Výzkumná instituce, výzkumná organizace podle přímo použitelného předpisu Evropské unie[footnoteRef:45], veřejná výzkumná instituce[footnoteRef:46] nebo vysoká škola je poskytovatelem regulované služby v režimu vyšších povinností v případě, že provádí citlivou výzkumnou činnost. [45: Čl. 2 bod 83 nařízení Komise (EU) č. 651/2014] [46: Zákon č. 351/2005 Sb., o veřejných výzkumných institucích]

Výzkumná instituce, která neprovádí citlivou výzkumnou činnost, je poskytovatelem regulované služby v režimu nižších povinností v případě, že je středním nebo velkým podnikem.

Výzkumná organizace podle přímo použitelného předpisu Evropské unie[footnoteRef:47], veřejná výzkumná instituce[footnoteRef:48] nebo vysoká škola, která neprovádí citlivou výzkumnou činnost, je poskytovatelem regulované služby v režimu nižších povinností v případě, že je středním nebo velkým podnikem a současně provádí aplikovaný výzkum[footnoteRef:49] v některém z následujících oborů výzkumu a vývoje podle Struktury oborů FORD[footnoteRef:50]: [47: Čl. 2 bod 83 nařízení Komise (EU) č. 651/2014] [48: Zákon č. 351/2005 Sb., o veřejných výzkumných institucích] [49: § 2 odst. 1 písm. b) zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu a vývoje)] [50: Číselník skupin oborů podle manuálu Frascati, OECD, 2015]

a) 1.2 Počítačové a informační vědy,
b) 1.3 Fyzikální vědy,
c) 1.4 Chemické vědy,
d) 1.6 Biologické vědy,
e) 2.2 Elektrické, elektronické a informační technologie,
f) 2.3 Mechanické technologie,
g) 2.4 Chemické technologie,
h) 2.5 Materiálové inženýrství,
i) 2.7 Environmentální technologie,
j) 2.8 Environmentální biotechnologie,
k) 2.9 Industriální biotechnologie,
l) 2.10 Nanotechnologie,
m) 2.11 Ostatní inženýrství a technologie,
n) 3.1 Základní medicína,
o) 3.2 Klinická medicína,
p) 3.3 Zdravotní vědy,
q) 3.4 Medicínská biotechnologie,
r) 4.4 Zemědělská biotechnologie,
s výjimkou výzkumu a vývoje léčivých přípravků naplňujícího kritéria pro identifikaci regulované služby podle bodu 18.4.

Provozování velké výzkumné infrastruktury
Hostitelská nebo partnerská instituce velké výzkumné infrastruktury[footnoteRef:51] nebo konsorcium evropské výzkumné infrastruktury[footnoteRef:52] je poskytovatelem regulované služby v režimu vyšších povinností. [51: § 2 odst. 2 písm. d) zákona č. 130/2002 Sb., o podpoře výzkumu a vývoje z veřejných prostředků a o změně některých souvisejících zákonů (zákon o podpoře výzkumu a vývoje)] [52: Nařízení Rady (ES) č. 723/2009 ze dne 25. června 2009 o právním rámci Společenství pro konsorcium evropské výzkumné infrastruktury (ERIC)]

Poštovní a kurýrní služby
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Poskytování poštovní a kurýrní služby
Provozovatel poštovní služby podle zákona o poštovních službách a poskytovatel kurýrní služby podle přímo použitelného předpisu Evropské unie[footnoteRef:53], který poskytuje alespoň jeden z kroků v poštovním řetězci, který je středním nebo velkým podnikem, je poskytovatel regulované služby v režimu nižších povinností. [53: Nařízení Evropského parlamentu a Rady (EU) 2018/644 ze dne 18. dubna 2018 o službách přeshraničního dodávání balíků]

Obranný průmysl
Regulovaná služba

Služba
Podmínky významnosti poskytovatele regulované služby a jeho režim

Výroba vojenského materiálu
Výrobce vojenského materiálu uvedeného v seznamu vojenského materiálu podle zákona o zahraničním obchodu s vojenským materiálem je
I) poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II) poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Obchod s vojenským materiálem
Právnická nebo fyzická osoba, které bylo vydáno povolení obchodu s vojenským materiálem podle zákona o zahraničním obchodu s vojenským materiálem je
I) poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II) poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Vesmírný průmysl
Regulovaná služba

Služba
Podmínky poskytovatele regulované služby a jeho režim

Zajištění podpory poskytování služeb využívajících kosmického prostoru
Provozovatel pozemní infrastruktury využívané pro podporu poskytování služeb využívajících kosmického prostoru, který je středním nebo velkým podnikem a zároveň nezajišťuje tuto službu podpory jako podnikatel zajišťující službu nebo síť elektronických komunikací podle zákona o elektronických komunikacích, je
I) poskytovatel regulované služby v režimu vyšších povinností, v případě, že je velkým podnikem,
II) poskytovatel regulované služby v režimu nižších povinností v případě, že je středním podnikem.

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností

Návrh
VYHLÁŠKA
ze dne dd.mm.rrrr,
o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 14 odst. 1 zákona č. [bude doplněno] Sb., o kybernetické bezpečnosti (dále jen „zákon“):
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§ 1
Předmět právní úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie[footnoteRef:54] a pro poskytovatele regulované služby v režimu vyšších povinností (dále jen „povinná osoba“) upravuje [54: Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).]

obsah a rozsah bezpečnostních opatření a
nezbytný rozsah strategicky významné služby.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a) administrátorem privilegovaný uživatel nebo osoba zajišťující správu, provoz, použití, údržbu a bezpečnost technického aktiva,
b) akceptovatelným rizikem riziko, které je přijatelné pro povinnou osobu,
c) bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv,
d) hodnocením rizik celkový proces určování, analýzy a vyhodnocení rizik,
e) privilegovaným uživatelem uživatel či osoba, jehož činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,
f) rizikem možnost, že určitá hrozba využije zranitelnosti aktiva a způsobí škodu,
g) řízením rizik systematický proces zahrnující hodnocení rizik, zavádění bezpečnostních opatření ke zvládání rizik a komunikaci rizik,
h) systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům aktiv, která stanoví způsob ustavení, zavádění, provozování, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací,
i) uživatelem fyzická nebo právnická osoba nebo orgán veřejné moci, které využívají aktiva,
j) vrcholným vedením statutární orgán nebo jiná osoba nebo skupina osob v obdobném postavení,
k) významnou změnou změna, která má nebo může mít vliv na kybernetickou bezpečnost a je určena na základě stanovených pravidel, postupů a kritérií a
l) významným dodavatelem ten, kdo poskytovateli regulované služby poskytuje plnění, které je významné z hlediska kybernetické bezpečnosti.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
§ 3
Povinná osoba zavede a provádí bezpečnostní opatření podle této vyhlášky v rozsahu řízení kybernetické bezpečnosti stanoveném podle § 12 zákona.

HLAVA I
ORGANIZAČNÍ OPATŘENÍ
§ 4
Systém řízení bezpečnosti informací
(1) Povinná osoba v rámci systému řízení bezpečnosti informací
a) stanoví cíle systému řízení bezpečnosti informací směřující k zajištění kybernetické bezpečnosti regulované služby,
b) řídí rizika podle § 9,
c) na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a řízení rizik zavede přiměřená bezpečnostní opatření směřující k zajištění bezpečnosti regulované služby,
d) stanoví a schválí bezpečnostní politiku a bezpečnostní dokumentaci ve vztahu k řízení kybernetické bezpečnosti, která obsahuje hlavní zásady, cíle systému řízení bezpečnosti informací, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku a bezpečnostní dokumentaci v dalších oblastech podle § 7,
e) zajistí provedení auditu kybernetické bezpečnosti podle § 17,
f) zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací alespoň jednou ročně, které obsahuje
1. vyhodnocení cílů systému řízení bezpečnosti informací směřujících k zajištění kybernetické bezpečnosti regulované služby,
2. posouzení naplňování plánu zvládání rizik zpracovaného podle § 9 písm. g),
3. hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik,
4. posouzení výsledků provedených auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,
5. výsledky předchozích hodnocení účinnosti systému řízení bezpečnosti informací provedených podle tohoto písmena,
6. posouzení dopadů kybernetických bezpečnostních incidentů na poskytované služby podle § 16 a na oblast kybernetické bezpečnosti a
7. posouzení významných změn podle § 12,
g) na základě vyhodnocení účinnosti systému řízení bezpečnosti informací podle písmena f) zpracuje zprávu o přezkoumání systému řízení bezpečnosti informací,
h) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě
1. zjištění z auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti,
2. výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací,
3. dopadů kybernetických bezpečnostních incidentů na poskytované služby a
4. prováděných významných změn,
i) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik a
j) stanoví proces řízení výjimek z pravidel stanovených v bezpečnostní politice podle písmene d).
(2) Povinná osoba v případě neplnění povinnosti řízení rizik podle odstavce 1 písmene b)
a) zavede všechna bezpečnostní opatření požadovaná touto vyhláškou,
b) zpracuje o bezpečnostních opatřeních podle písmene. a),
1. prohlášení o aplikovatelnosti podle § 9 odst. 1 písm. f) a
2. plán zvládání rizik přiměřeně podle § 9 odst. 1 písm. g),
c) zohlední v plánu zvládání rizik
1. významné změny,
2. změny stanoveného rozsahu podle § 12 zákona,
3. protiopatření podle § 20 zákona,
4. kybernetické bezpečnostní incidenty, včetně dříve řešených,
5. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti a
6. výsledky penetračního testování a skenování zranitelností,
d) v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.
§ 5
Požadavky na vrcholné vedení
(1) Vrcholné vedení s ohledem na systém řízení bezpečnosti informací
a) prokazatelně absolvuje školení podle § 11 odst. 3 písm. a),
b) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 4, slučitelných se strategickým směřováním povinné osoby,
c) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,
d) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,
e) informuje zaměstnance o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky se všemi dotčenými stranami,
f) zajistí podporu k dosažení cílů systému řízení bezpečnosti informací,
g) vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací a podporuje je při tomto rozvíjení,
h) se podílí na vypracování analýzy dopadů podle § 16,
i) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,
j) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,
k) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,
l) zajistí, aby byla zachována mlčenlivost u všech relevantních osob (zejména administrátorů, osob zastávajících bezpečnostní role a dodavatelů)
m) pro osoby zastávající bezpečnostní role zajistí pravomoci potřebné pro naplňování jejich rolí a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a
n) zajistí testování plánů kontinuity činností, plánů obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.
(2) Vrcholné vedení se prokazatelně seznamuje se
a) zprávou o přezkoumání systému řízení bezpečnosti informací,
b) zprávou o hodnocení rizik,
c) výsledky analýzy dopadů a
d) výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti.
(3) Vrcholné vedení v rámci systému řízení bezpečnosti informací určí složení výboru pro řízení kybernetické bezpečnosti, bezpečnostní role, jejich práva a povinnosti související se systémem řízení bezpečnosti informací.
(4) Jednání výboru pro řízení kybernetické bezpečnosti probíhají v pravidelném intervalu a o jejich průběhu je veden záznam.
(5) Výbor pro řízení kybernetické bezpečnosti je složen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osobami významně se podílejícími na řízení a koordinaci činností spojených s kybernetickou bezpečností, jehož členem musí být alespoň jeden zástupce vrcholného vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti. Povinná osoba u výboru pro řízení kybernetické bezpečnosti přihlédne k doporučením uvedeným v příloze č. 5 k této vyhlášce.
(6) Vrcholné vedení určí osobu, která bude zastávat bezpečnostní roli
a) manažera kybernetické bezpečnosti,
b) architekta kybernetické bezpečnosti,
c) garanta aktiva a
d) auditora kybernetické bezpečnosti.
(7) Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 6 písmene a) a b).
§ 6
Stanovení bezpečnostních rolí
(1) Manažer kybernetické bezpečnosti
a) je bezpečnostní role odpovědná za systém řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací
1. po dobu nejméně tří let, nebo
2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,
b) odpovídá za pravidelné informování vrcholného vedení o
1. činnostech vyplývajících z rozsahu jeho odpovědnosti a
2. stavu systému řízení bezpečnosti informací,
c) nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby.
(2) Architekt kybernetické bezpečnosti
a) je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury
1. po dobu nejméně tří let, nebo
2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole.
(3) Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva.
(4) Auditor kybernetické bezpečnosti
a) je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací
1. po dobu nejméně tří let, nebo
2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,
b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné a
c) nesmí být pověřen výkonem jiných bezpečnostních rolí.
(5) Povinná osoba při určování osob zastávajících bezpečnostní role přihlédne k doporučením uvedeným v příloze č. 5 k této vyhlášce.
§ 7
Řízení bezpečnostní politiky a bezpečnostní dokumentace
(1) Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace
a) stanoví bezpečnostní politiku ve vztahu k řízení kybernetické bezpečnosti a vede relevantní bezpečnostní politiku a bezpečnostní dokumentaci k opatřením uvedeným v § 4 až 28.
b) v provozní dokumentaci stanoví pravidla a postupy, které zohledňují relevantní oblasti z bezpečnostní politiky a bezpečnostní dokumentace,
c) stanoví pravidla a postupy pro provedení protiopatření vydaných Úřadem podle § 20 zákona.
(2) Povinná osoba dodržuje bezpečnostní politiky, bezpečnostní dokumentaci, pravidla a postupy stanovené podle odstavce 1.
(3) Povinná osoba pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci, zajistí jejich aktuálnost a zohlednění jejich relevantních oblastí v provozní dokumentaci.
(4) Povinná osoba určí osobu odpovědnou za pravidelný přezkum a aktualizaci bezpečnostní politiky, bezpečnostní dokumentace a zohlednění jejich relevantních oblastí v provozní dokumentaci podle odstavce 3.
(5) Bezpečnostní politika a bezpečnostní dokumentace musí být řízeny tak, aby byly
a) dostupné v elektronické nebo listinné podobě,
b) komunikovány v rámci povinné osoby,
c) přiměřeně dostupné dotčeným stranám,
d) chráněny z pohledu důvěrnosti, integrity a dostupnosti a
e) vedeny tak, aby informace v nich obsažené byly úplné, čitelné, správné, snadno identifikovatelné a vyhledatelné.
§ 8
Řízení aktiv
(1) Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti podle § 12 zákona
a) stanoví metodiku pro určování a hodnocení aktiv včetně stanovení úrovní aktiv, alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,
b) eviduje garanty aktiv podle § 5 odst. 6 písm. c),
c) hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene a),
d) v rámci hodnocení primárních aktiv posuzuje alespoň oblasti uvedené v příloze č. 1 k této vyhlášce,
e) určuje a eviduje relevantní vazby mezi aktivy,
f) hodnotí podpůrná aktiva a zohledňuje přitom zejména vazby na primární aktiva a
g) pro jednotlivé úrovně aktiv podle písmena a) stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují zejména
1. přípustné způsoby používání aktiv,
2. pravidla pro manipulaci s aktivy,
3. pravidla pro klasifikaci informací,
4. pravidla pro označování aktiv,
5. pravidla správy výměnných médií,
6. pravidla pro bezpečné elektronické sdílení a fyzické přenášení aktiv a
7. pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv, která jsou nosiči informací a dat s ohledem na úroveň aktiv v souladu s přílohou č. 3 k této vyhlášce.
§ 9
Řízení rizik
(1) Povinná osoba v rámci řízení rizik v návaznosti na § 8
a) stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,
b) při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelností uvedených v příloze č. 4 k této vyhlášce,
c) provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách určených podle § 12 odst. 1 písm. c),
d) při hodnocení rizik podle písmene c) zohlední relevantní hrozby a zranitelnosti podle písmene b) a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv podle § 8; tato rizika hodnotí alespoň v rozsahu přílohy č. 2 k této vyhlášce,
e) na základě provedeného hodnocení rizik podle písmene d) zpracuje zprávu o hodnocení rizik,
f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která
1. nebyla aplikována, včetně odůvodnění a přehled přijatých náhradních bezpečnostních opatření,
2. byla aplikována, včetně způsobu plnění,
g) na základě provedeného hodnocení rizik podle písmena d) a v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje
1. popis bezpečnostních opatření pro zvládání rizik,
2. cíle a přínosy bezpečnostních opatření pro zvládání rizik,
3. určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik,
4. předpokládané lidské, finanční a technické zdroje pro zavedení bezpečnostních opatření,
5. požadovaný termín zavedení bezpečnostních opatření,
6. popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními,
7. konkrétní způsob realizace bezpečnostních opatření,
h) při hodnocení rizik a v plánu zvládání rizik zohlední
1. významné změny,
2. změny stanoveného rozsahu podle § 12 zákona,
3. protiopatření podle § 20 zákona,
4. kybernetické bezpečnostní incidenty, včetně dříve řešených,
5. výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti a
6. výsledky penetračního testování a skenování zranitelností.
(2) Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.
(3) Hodnocení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písmene d), pokud povinná osoba zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik a postupuje v souladu s odst. 5 přílohy č. 2 k této vyhlášce.
§ 10
Řízení dodavatelů
(1) Povinná osoba
a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,
b) prokazatelně seznamuje své dodavatele s pravidly podle písmena a) a vyžaduje plnění těchto pravidel,
c) řídí rizika spojená s dodavateli,
d) identifikuje a eviduje své významné dodavatele ve smyslu § 2 písm. l),
e) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmena d),
f) v souvislosti s řízením rizik spojených s významnými dodavateli zajistí, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní ustanovení uvedená v příloze č. 6 k této vyhlášce a
g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.
(2) Povinná osoba u významných dodavatelů dále
a) v rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik souvisejících s plněním předmětu výběrového řízení přiměřeně podle přílohy č. 2 k této vyhlášce,
b) v rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a
d) v reakci na rizika a zjištěné nedostatky zajistí jejich řešení.
(3) Náležitosti prokazatelného informování podle odstavce 1 písmene. e) jsou
a) identifikace povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností
b) identifikace regulované služby,
c) identifikace významného dodavatele,
d) vyrozumění o skutečnosti, že dodavatel je pro povinnou osobu významným dodavatelem a
e) obsah pravidel podle odstavce 1 písmene a).
§ 11
Bezpečnost lidských zdrojů
(1) Povinná osoba v rámci řízení bezpečnosti lidských zdrojů s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí včetně formy, obsahu a rozsahu poučení a školení podle odstavce 2.
(2) Povinná osoba zahrne do plánu rozvoje bezpečnostního povědomí
a) poučení vrcholného vedení o jeho povinnostech, o bezpečnostní politice zejména v oblastech systému řízení bezpečnosti informací a řízení rizik,
b) poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice,
c) potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,
d) pravidla tvorby bezpečných hesel v souladu s § 20,
e) relevantní témata uvedená v příloze č. 7 této vyhlášky.
(3) Povinná osoba v rámci řízení bezpečnosti lidských zdrojů
a) v souladu s plánem rozvoje bezpečnostního povědomí
1. zajistí poučení vrcholného vedení o jeho povinnostech, o bezpečnostní politice zejména v oblasti systému řízení bezpečnosti informací a řízení rizik formou vstupních a pravidelných školení, k získání znalostí a dovedností vedoucích k určování rizik a posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu.
2. zajistí poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
3. zajistí osobám zastávajícím bezpečnostní role pravidelná odborná školení, přičemž vychází z aktuálních potřeb povinné osoby v oblasti kybernetické bezpečnosti,
4. zajistí pravidelná školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní,
b) určí osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu rozvoje bezpečnostního povědomí uvedeny,
c) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených poučení, školení a dalších činností spojených se zlepšováním bezpečnostního povědomí,
d) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,
e) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a
f) v případě ukončení nebo změny smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistí předání odpovědností.
(4) Povinná osoba vede o poučení a školení podle odstavce 3 přehledy, které obsahují předmět poučení a školení včetně seznamu osob, které poučení a školení absolvovaly.
§ 12
Řízení změn
(1) Povinná osoba v rámci řízení změn u aktiv
a) stanoví pravidla, postupy a kritéria pro určení významných změn,
b) identifikuje změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost,
c) u změn identifikovaných podle písmene b) aplikuje pravidla, postupy a kritéria pro určení významných změn v souladu s písmenem a), čímž určuje významné změny.
(2) Povinná osoba u významných změn
a) dokumentuje jejich řízení,
b) řídí rizika spojená s významnými změnami,
c) přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,
d) aktualizuje bezpečnostní a provozní dokumentaci,
e) zajistí jejich testování před uvedením do provozu a
f) zajistí možnost navrácení do původního stavu.
(3) Povinná osoba na základě výsledků řízení rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování; pokud rozhodne o provedení penetračního testování, postupuje podle § 25 odst. 6 této vyhlášky.
§ 13
Akvizice, vývoj a údržba
Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv
a) řídí rizika spojená s akvizicí vývojem a údržbou,
b) řídí významné změny podle § 12,
c) stanoví bezpečnostní požadavky na plánovanou akvizici, vývoj a údržbu,
d) zahrne bezpečnostní požadavky stanovené podle písmene c) do plánované akvizice, vývoje a údržby,
e) zajistí oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiných specifických prostředí, a zajistí ochranu informací a dat se v nich vyskytujících,
f) je-li cílem provedení akvizice nebo vývoje technické aktivum využívající autentizační mechanismus, zejména za účelem ověření identity uživatelů nebo administrátorů, plní požadavky podle § 20 odst. 3,
g) je-li cílem provedení akvizice nebo vývoje technické aktivum, musí být zajištěna dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu a
h) je-li cílem provedení akvizice nebo vývoje technické aktivum užívající kryptografické algoritmy, plní požadavky podle § 26 odst. 1 písm. a) a odst. 3 písm. a).
§ 14
Řízení přístupu
(1) Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup k aktivům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany přístupových a autentizačních údajů, které jsou používány pro ověření identity podle § 20 a § 21.
(2) Povinná osoba dále v rámci řízení přístupu k aktivům
a) řídí přístup na základě skupin a rolí,
b) přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby,
c) řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv,
d) v souladu s písmenem c) zavádí bezpečnostní opatření pro řízení přístupu technických aktiv,
e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě,
f) omezí a kontroluje používání programových prostředků a vybavení, které mohou být schopné překonat systémové nebo aplikační kontroly,
g) přiděluje a odebírá přístupová práva a oprávnění v souladu s politikou řízení přístupu,
h) provádí pravidelné přezkoumání veškerých přístupových práv a oprávnění včetně rozdělení do skupin a rolí,
i) zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení na základě skupin a rolí,
j) zajistí deaktivaci účtů a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu,
k) dokumentuje přidělování a odebírání přístupových práv a oprávnění a
l) využívá nástroj pro správu a ověřování identity podle § 20 a nástroj pro řízení přístupových práv a oprávnění podle § 21.
§ 15
Zvládání kybernetických bezpečnostních událostí a incidentů
(1) Povinná osoba v rámci zvládání kybernetických bezpečnostních událostí a incidentů
a) zavede procesy, pravidla a postupy pro detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí v souladu s § 22 až 24
b) zavede procesy, pravidla a postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů,
c) přidělí odpovědnosti pro
1. detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí a
2. koordinaci a zvládání kybernetických bezpečnostních incidentů,
d) definuje a dodržuje pravidla a postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,
e) zajistí detekci kybernetických bezpečnostních událostí podle § 22,
f) zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti,
g) zajistí posuzování kybernetických bezpečnostních událostí, při kterém musí být rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní incidenty,
h) zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených postupů,
i) přijímá bezpečnostní opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,
j) hlásí kybernetické bezpečnostní incidenty podle § 16 zákona,
k) vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání,
l) prošetří a určí příčiny kybernetického bezpečnostního incidentu a
m) vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření, k zamezení opakování řešeného kybernetického bezpečnostního incidentu.
(2) Povinná osoba dále při detekci a vyhodnocování kybernetických bezpečnostních událostí používá nástroje podle § 22 a § 24.
§ 16
Řízení kontinuity činností
(1) Povinná osoba v rámci řízení kontinuity činností
a) stanoví metodiku pro provedení analýzy dopadů,
b) provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik podle § 9, v rámci kterého posoudí možná rizika související s ohrožením kontinuity činností,
c) na základě výstupů analýzy dopadů a hodnocení rizik podle písmene b) stanoví cíle řízení kontinuity činností formou určení
1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby,
2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby a
3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání,
d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c) a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,
e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby a
f) realizuje bezpečnostní opatření pro zvýšení odolnosti podle § 27.
§ 17
Provádění auditu kybernetické bezpečnosti
(1) Povinná osoba stanoví plán provádění auditu kybernetické bezpečnosti.
(2) Povinná osoba v rámci auditu kybernetické bezpečnosti
a) posuzuje zda byla zavedena bezpečnostní opatření požadovaná zákonem a touto vyhláškou,
b) posuzuje soulad zavedených bezpečnostních opatření s právními předpisy, vnitřními předpisy, jinými předpisy, smluvními závazky a nejlepší praxí a
c) provádí a dokumentuje audit dodržování pravidel a postupů stanovených v bezpečnostní politice, včetně přezkoumání technické shody a dříve stanovených nápravných opatření podle odstavce 4.
(3) Povinná osoba zohlední výsledky auditu kybernetické bezpečnosti podle odstavce 2 v
a) plánu zvládání rizik,
b) prohlášení o aplikovatelnosti a
c) plánu rozvoje bezpečnostního povědomí.
(4) Povinná osoba stanoví případná nápravná opatření pro splnění požadavků podle odstavce 2.
(5) Audit kybernetické bezpečnosti podle odstavce 2 je prováděn
a) při významných změnách, v rámci jejich rozsahu,
b) v pravidelných intervalech alespoň po dvou letech a
c) v souladu s plánem auditu kybernetické bezpečnosti.
(6) Není-li v odůvodněných případech možné provést audit v intervalu podle odstavce 5 písmene b) v celém rozsahu podle odstavce 2, je možné audit kybernetické bezpečnosti provádět průběžně po systematických celcích. V takovém případě je nutno audit v celém rozsahu podle odstavce 2 provést nejpozději do pěti let.
(7) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 6 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.
HLAVA II
TECHNICKÁ OPATŘENÍ
§ 18
Fyzická bezpečnost
Povinná osoba v rámci fyzické bezpečnosti
a) předchází poškození, krádeži, neoprávněným zásahům, zneužití aktiv a přerušení poskytování regulované služby,
b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány nebo zpracovávány informace a data, nebo ve které jsou umístěna technická aktiva regulované služby,
c) dokumentuje jednotlivé fyzické bezpečnostní perimetry podle písmena b) s ohledem na hodnocení umístěných technických aktiv a rozdělí je na jednotlivé úrovně fyzické ochrany,
d) u každého fyzického bezpečnostního perimetru stanoveného podle písmena c) přijme relevantní bezpečnostní opatření fyzické ochrany s ohledem na jeho úroveň fyzické ochrany
1. k zamezení neoprávněnému vstupu,
2. k zamezení poškození, krádeži, neoprávněným zásahům, zneužití aktiv a přerušení poskytování regulované služby,
3. k zajištění fyzické ochrany na úrovni objektů a v rámci objektů,
4. pro zajištění detekce narušení fyzického bezpečnostního perimetru a
5. eviduje vstupy a přístupy do fyzického bezpečnostního perimetru.
§ 19
Bezpečnost komunikačních sítí
Povinná osoba pro ochranu bezpečnosti komunikační sítě, a to včetně jejího síťového perimetru
a) zajistí a dokumentuje segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí,
b) zajistí řízení komunikace v rámci komunikační sítě,
c) zajistí řízení vzdáleného přístupu ke komunikační síti,
d) zajistí řízení vzdálené správy technických aktiv,
e) v souladu s písmeny b), c) a d) povoluje pouze takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby,
f) v souladu s písmeny c) a d) zajistí časové omezení této komunikace a opětovné ověření identity administrátorů a uživatelů po stanovené době,
g) pomocí aktuálně odolných kryptografických algoritmů upravených v § 26 a síťových protokolů zajistí důvěrnost a integritu při přenosu informací a dat,
h) využívá nástroj, který zajistí ochranu integrity komunikační sítě a
i) dokumentuje topologii komunikační sítě a infrastruktury.
§ 20
Správa a ověřování identit
(1) Povinná osoba používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv regulované služby.
(2) Nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv zajišťuje
a) ověření identity před zahájením jejich aktivit,
b) řízení počtu možných neúspěšných pokusů o přihlášení,
c) odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu,
d) opětovné ověření identity po stanovené době nečinnosti,
e) dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu a
f) centralizovanou správu identit s ohledem na vazby mezi aktivy.
(3) Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.
(4) Povinná osoba do doby splnění požadavků pro ověření identity administrátorů, uživatelů nebo technických aktiv podle odstavce 3 vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění.
(5) Povinná osoba do doby splnění požadavku pro ověření identity administrátorů, uživatelů nebo technických aktiv využívající autentizační mechanismus založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů podle odstavce 3, využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.
(6) Povinná osoba do doby splnění požadavku pro ověření identity administrátorů, uživatelů a technických aktiv využívající autentizační mechanismus založený na autentizaci pomocí kryptografických klíčů nebo certifikátů podle odstavce 5, využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla a tento nástroj musí vynucovat pravidla
a) délky hesla alespoň
1. 12 znaků pro účty uživatelů,
2. 17 znaků pro účty administrátorů,
3. 22 znaků pro účty technických aktiv,
b) umožňující zadat heslo o délce alespoň 64 znaků,
c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
d) umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,
e) povinné změny hesla v intervalu maximálně po 18 měsících,
f) neumožňující uživatelům a administrátorům
1. zvolit si jednoduchá a často používaná hesla,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailů, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.
(7) Povinná osoba v souladu s odstavcem 6 zajistí
a) bezodkladné vynucení změny výchozího hesla uživatelů a administrátorů po prvním přihlášení,
b) bezodkladné vynucení změny výchozího hesla technického aktiva,
c) bezodkladné vynucení změny přístupového hesla v případě důvodného podezření na jeho kompromitaci,
d) v rámci ověření identity technického aktiva vytvoření nového hesla složeného z náhodného řetězce malých a velkých písmen, číslic a speciálních znaků a
e) vytvoření náhodného výchozího hesla nebo identifikátoru sloužícího k vytvoření nebo pro obnovení přístupu a zajistí jeho důvěrnost.
(8) Povinná osoba bezodkladně zneplatní heslo nebo identifikátor sloužící k vytvoření nebo pro obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření.
(9) Povinná osoba u administrátorského účtu určeného zejména pro případ obnovy po kybernetickém bezpečnostním incidentu, musí vynucovat následující pravidla
a) bezodkladně vynutí změnu výchozí hesla,
b) heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,
c) délka hesla musí být alespoň 22 znaků,
d) heslo musí být bezpečně uloženo,
e) s účtem a jeho heslem mohou manipulovat pouze pověřené osoby, a to v nezbytně nutných případech,
f) musí být vynucena změna hesla po jeho použití, při jakékoli změně odpovědných osob, v případě důvodného podezření na jeho kompromitaci nebo v intervalu maximálně po 18 měsících a
g) eviduje manipulaci a pokusy o manipulaci s tímto účtem a jeho heslem.
§ 21
Řízení přístupových práv a oprávnění
Povinná osoba pro řízení přístupových práv a oprávnění
a) využívá centralizovaný nástroj s ohledem na vazby mezi aktivy,
b) řídí práva pro přístup k jednotlivým aktivům a
c) řídí oprávnění pro čtení a zápis informací a dat a změnu oprávnění.
§ 22
Detekce kybernetických bezpečnostních událostí
(1) Povinná osoba používá nástroj pro detekci kybernetických bezpečnostních událostí, který v rámci komunikační sítě zajišťuje
a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,
b) ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě a
c) aktivní blokování nežádoucí komunikace.
(2) Povinná osoba používá centrálně spravovaný nástroj s ohledem na vazby mezi aktivy pro detekci kybernetických bezpečnostních událostí, který u jednotlivých relevantních technických aktiv zajišťuje
a) nepřetržitou a automatickou ochranu před škodlivým kódem,
b) řízení a sledování používání vyměnitelných zařízení a datových nosičů,
c) řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů,
d) řízení oprávnění ke spouštění kódu,
e) řízení a sledování komunikace aplikací, jejich služeb a procesů,
f) detekci kybernetických bezpečnostních událostí nad technickými aktivy a
g) detekci na základě chování technického aktiva, administrátorů a uživatelů.
(3) Povinná osoba provádí pravidelnou a bezodkladnou aktualizaci nástroje používaného podle odstavce 1 a 2, a to včetně jeho nastavení a detekčních pravidel.
§ 23
Zaznamenávání událostí
(1) Povinná osoba na základě hodnocení aktiv a bezpečnostních potřeb určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno.
(2) Povinná osoba v souladu s odstavcem 1 zaznamenává bezpečnostní a relevantní provozní události
a) detekované podle § 22,
b) v rámci komunikační sítě,
c) na síťovém perimetru a
d) technických aktiv.
(3) Povinná osoba aktualizuje rozsah technických aktiv určených podle odstavce 1 v pravidelných intervalech a při významných změnách.
(4) Povinná osoba zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv.
(5) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2 zaznamenává zejména následující informace o události
a) datum a čas včetně specifikace časového pásma,
b) typ činnosti,
c) jednoznačnou identifikaci technického aktiva, které činnost zaznamenalo,
d) jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,
e) jednoznačnou identifikaci zařízení původce a
f) úspěšnost nebo neúspěšnost činnosti.
(6) Povinná osoba zajistí jednoznačnou síťovou identifikaci podle odstavce 5 písmene. c) až e) v případě, kdy v komunikační síti dochází ke změně této síťové identifikace.
(7) Povinná osoba v rámci zajištění důvěrnosti a integrity informací získaných podle odstavce 2 zajistí jejich ochranu před neoprávněným čtením a jakoukoliv změnou.
(8) Povinná osoba v rámci zaznamenávání událostí podle odstavce 2, zejména zaznamenává
a) přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
b) provedení a neúspěšné pokusy o provedení privilegované činnosti,
c) manipulace a neúspěšné pokusy o manipulaci s účty, oprávněními a právy,
d) neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění,
e) zahájení a ukončení činností technických aktiv,
f) kritická a chybová hlášení technických aktiv,
g) přístupy a neúspěšné pokusy o přístupy k záznamům událostí,
h) manipulace a neúspěšné pokusy o manipulaci se záznamy událostí,
i) změny a neúspěšné pokusy o změny nastavení nástrojů pro zaznamenávání událostí a
j) další činností uživatelů, které mohou mít vliv na bezpečnost regulované služby.
(9) Povinná osoba používá centrální nástroj s ohledem na vazby mezi aktivy pro sběr a uchovávání záznamů událostí zaznamenaných podle odstavce 2.
(10) Povinná osoba uchovává záznamy událostí zaznamenané podle odstavce 2 nejméně po dobu 18 měsíců.
§ 24
Vyhodnocování kybernetických bezpečnostních událostí
(1) Povinná osoba používá nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí detekovaných podle § 22, který zajišťuje
a) sběr, vyhledávání a seskupování souvisejících záznamů za účelem detekce kybernetických bezpečnostních událostí,
b) nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech, včasné varování vybraných bezpečnostních rolí a dalších relevantních osob a
c) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů.
(2) Povinná osoba v rámci používání nástroje v souladu s odstavcem 1 zajistí
a) omezení případů nesprávného či nežádoucího vyhodnocování kybernetických bezpečnostních událostí,
b) pravidelnou aktualizaci nastavení nástroje včetně jeho pravidel pro detekci a vyhodnocování kybernetických bezpečnostních událostí a
c) pravidelnou aktualizaci pravidel pro nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech včetně včasného varování vybraných bezpečnostních rolí a dalších relevantních osob.
(3) Povinná osoba využívá informací získaných nástrojem pro vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení systému řízení bezpečnosti informací regulované služby a zavádění bezpečnostních opatření.
§ 25
Aplikační bezpečnost
(1) Povinná osoba pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou výrobcem, dodavatelem nebo jinou osobou podporována a zajistí bezodkladné aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva.
(2) Povinná osoba do doby plnění odstavce 1 zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv a eviduje technická aktiva
a) která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována a
b) na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci.
(3) Povinná osoba v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před
a) neoprávněnou činností a
b) popřením provedených činností.
(4) Povinná osoba provádí pravidelné skenování zranitelnosti technických aktiv regulované služby
a) z interní a externí komunikační sítě a
b) alespoň jednou ročně.
(5) Povinná osoba zohlední výsledky skenů zranitelnosti v rámci řízení rizik podle § 9 a zavádí bezpečnostní opatření na základě zjištěných výsledků.
(6) Povinná osoba provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik
a) z interní a externí komunikační sítě,
b) před jejich uvedením do provozu a
c) v souvislosti s významnou změnou podle § 12 odst. 3.
(7) Povinná osoba zohlední výsledky penetračního testování v rámci řízení rizik podle § 9 a zavádí bezpečnostní opatření na základě zjištěných výsledků.
(8) Povinná osoba provede opětovné otestování (retest) nálezu zjištěného na základě provedeného skenování zranitelnosti nebo penetračního testování za účelem ověření funkčnosti zavedených bezpečnostních opatření.
(9) Povinná osoba v souladu s odstavcem 6 písmene. a) provádí pravidelně penetrační testování, a to alespoň jednou za dva roky.
(10) Povinná osoba v odůvodněných případech, pokud nemůže provést penetrační testování v rozsahu nebo intervalu stanoveném v odstavci 9, může rozdělit toto penetrační testování do systematických celků. V takovém případě je nutno provést penetrační testování v rozsahu stanoveném v odstavci 6 nejpozději do 5 let.
(11) Povinná osoba u penetračních testů v souladu s odstavcem 6 eviduje termín provedení a konkrétní fyzické osoby provádějící toto penetrační testování.
§ 26
Kryptografické algoritmy
(1) Povinná osoba rámci zajištění bezpečnosti technických aktiv a jejich komunikace
a) používá pouze aktuálně odolné kryptografické algoritmy,
b) prosazuje bezpečné nakládání s kryptografickými algoritmy a
c) zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Úřadem, zveřejněné na jeho internetových stránkách.
(2) Povinná osoba zajišťuje bezpečnou
a) hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace, a
b) nouzovou komunikaci v rámci organizace.
(3) Povinná osoba v případě využívání kryptografických klíčů a certifikátů pro ochranu technických aktiv a komunikační sítě používá
a) pouze aktuálně odolné kryptografických klíče a certifikáty a
b) nástroj pro správu kryptografických klíčů a certifikátů, který
1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů,
2. umožní kontrolu a audit a
3. zajistí důvěrnost a integritu kryptografických klíčů.
§ 27
Zajišťování dostupnosti regulované služby
(1) Povinná osoba zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí
a) dostupnost regulované služby podle cílů stanovených dle § 16,
b) odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost a
c) redundanci aktiv nezbytných pro zajištění dostupnosti regulované služby.
(2) Povinná osoba pro zajištění dostupnosti regulované služby v souladu s odstavcem 1 vytváří pravidelné zálohy nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby v případě kybernetického bezpečnostního incidentu.
(3) Povinná osoba u záloh vytvářených podle odstavce 2 zajistí
a) pravidelné testování jejich integrity, dostupnosti a obnovitelnosti,
b) dokumentování výsledků testů provedených podle odstavce 3 písmene. a),
c) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich integrity a důvěrnosti, a to zejména šifrováním těchto záloh v souladu s § 26 a
d) ochranu ukládaných záloh a dat v nich obsažených před narušením jejich dostupnosti.
(4) Povinná osoba pro zajištění dostupnosti regulované služby zajistí bezpečnou správu konfigurací a nastavení technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik.
(5) Povinná osoba za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí podle § 19 písm. a).
§ 28
Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv
Povinná osoba včetně požadavků uvedených v § 1 až § 27 pro zajištění kybernetické bezpečnosti průmyslových, řídicích a obdobných specifických technických aktiv dále využívá nástroje a zavádí bezpečnostní opatření, která zajistí
a) omezení fyzického přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,
b) omezení oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům,
c) segmentaci komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí a segmentaci těchto komunikačních sítí podle § 19,
d) omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv,
e) ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím známých zranitelností a hrozeb a
f) dostupnost a obnovu průmyslových, řídicích a obdobných specifických technických aktiv pro zajištění dostupnosti regulované služby.
ČÁST TŘETÍ
§ 29
Nezbytný rozsah dostupnosti strategicky významné služby
(1) Nezbytný rozsah dostupnosti strategicky významné služby podle § 33 odst. 1 zákona je stanoven v příloze č. 8 této vyhlášky.
(2) Povinnost podle odstavce 1 se ve vztahu ke strategicky významné službě v odvětví veřejná správa nevztahuje na aktiva, jejichž provoz je zajištěn prostřednictvím cloud computingu, a na která dopadá povinnost podle § 6l odst. 1 zákona o informačních systémech veřejné správy.
(3) Zajišťováním dostupnosti strategicky významné služby v nezbytném rozsahu nejsou dotčena bezpečnostní opatření podle části druhé této vyhlášky.

ČÁST ČTVRTÁ
ZÁVĚREČNÁ USTANOVENÍ
§ 30
Přechodná ustanovení
Poskytovatelé regulované služby, kteří byli ke dni předcházejícímu nabytí účinnosti této vyhlášky orgánem nebo osobou podle § 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, kterým se ukládají povinnosti v oblasti zavádění a provádění bezpečnostních opatření podle vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění účinném přede dnem nabytí účinnosti této vyhlášky, a kteří ke dni nabytí účinnosti této vyhlášky naplňují kritéria pro registraci alespoň jedné regulované služby, zavádí a provádí v rozsahu stanoveném zákonem o kybernetické bezpečnosti a do doby uplynutí lhůt pro zahájení plnění povinností podle zákona o kybernetické bezpečnosti bezpečnostní opatření podle vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), ve znění účinném přede dnem nabytí účinnosti této vyhlášky.
ČÁST ČTVRTÁ
ÚČINNOST
§ 30
Účinnost
Tato vyhláška nabývá účinnosti dnem dd.mm.rrrr.

Ředitel:
Ing. Lukáš Kintr v. r.

Příloha č. 1 k vyhlášce č. XX/XXXX Sb.
Určování a hodnocení aktiv
Upozornění: Tato příloha obsahuje jen jeden z možných způsobů určování a hodnocení aktiv. Povinná osoba určuje a hodnotí aktiva podle svých potřeb a specifik.

(1) Při určování primárních aktiv regulované služby je vhodné nejprve určit její účel. Z účelu je možné odvodit aktivum typu služba. Následně je vhodné identifikovat s jakými informacemi daná služba pracuje a odvodit primární aktiva typu informace.
(2) Při určování podpůrných aktiv je nutné vycházet z architektury systému regulované služby a zejména zohlednit vazby na primární aktiva. Povinná osoba by měla zvolit takový detail podpůrných aktiv, aby byla schopna adekvátně určovat a řídit rizika s aktivy spojená.
(3) Garanti aktiv jsou určováni na základě jejich pracovního zařazení a procesních a odborných znalostí daného aktiva. Pro účely řízení aktiv musí být garant aktiva schopen na základě možných dopadů aktivum ohodnotit.
(4) Pro hodnocení aktiv jsou v tomto případě použity stupnice o čtyřech úrovních uvedené v tabulkách č. 1, 2 a 3 a posuzuje se, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv. Je doporučeno, aby si povinná osoba tyto hodnotící úrovně aktiv ve stupnici přizpůsobila svým potřebám. Povinná osoba může používat odlišný počet úrovní pro hodnocení aktiv, než jaký je uveden v této příloze, dodrží-li jednoznačné vazby mezi jimi používaným způsobem hodnocení aktiv a stupnicemi a úrovněmi pro hodnocení aktiv, které jsou uvedeny v této příloze.
(5) U primárních aktiv je zároveň nutné zohlednit alespoň oblasti uvedené v tabulce č. 4 - Oblasti hodnocení primárních aktiv.
(6) Při hodnocení podpůrných aktiv je nutné zohlednit vazby mezi podpůrnými a primárními aktivy. Lze použít např. jednu z následujících variant
a) podpůrná aktiva přebírají hodnoty primárních aktiv,
b) podpůrná aktiva jsou posuzována individuálně s ohledem na hodnotu primárních aktiv,
c) podpůrná aktiva přebírají hodnoty primárních aktiv prostřednictvím vhodně zvoleného vzorce.
(7) Pravidla pro ochranu aktiv se vztahují i na listinné dokumenty, vyměnitelná zařízení a datové nosiče, které jsou kopií originálů v elektronické verzi.
Tab. č. 1: Stupnice pro hodnocení důvěrnosti
Úroveň
Popis
Příklady požadavků na ochranu aktiva

Nízká
Aktiva jsou veřejně přístupná nebo byla určena ke zveřejnění. Narušení důvěrnosti aktiv neohrožuje oprávněné zájmy povinné osoby.
Není vyžadována žádná ochrana.
V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle tzv. traffic light protokolu[footnoteRef:55] (dále jen „TLP“) je využíváno označení TLP:CLEAR. [55: Blíže viz TRAFFIC LIGHT PROTOCOL (TLP) FIRST Standards Definitions and Usage Guidance — Version 2.0. Dostupné online na: https://www.first.org/tlp.]

Likvidace/mazání na úrovni Nízká – viz příloha č. 3.

Střední
Aktiva nejsou veřejně přístupná a tvoří know-how povinné osoby, ochrana aktiv není vyžadována žádným právním předpisem nebo smluvním ujednáním.

Pro ochranu důvěrnosti jsou využívány prostředky pro řízení přístupu.
V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle TLP je využíváno zejména označení TLP:GREEN.
Likvidace/mazání na úrovni Střední – viz příloha č. 3.

Vysoká
Aktiva nejsou veřejně přístupná a jejich ochrana je vyžadována právními předpisy, jinými předpisy nebo smluvními ujednáními (například obchodní tajemství, osobní údaje).

Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Přenosy informací komunikačními sítěmi jsou chráněny pomocí kryptografických prostředků.
V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle TLP je využíváno zejména označení TLP:AMBER nebo TLP:AMBER+STRICT.
Likvidace/mazání na úrovni Vysoká – viz příloha č. 3.

Kritická
Aktiva nejsou veřejně přístupná a vyžadují nadstandardní míru ochrany nad rámec předchozí kategorie (například strategické obchodní tajemství, zvláštní kategorie osobních údajů).

Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Dále metody ochrany zabraňující zneužití aktiv ze strany administrátorů. Přenosy informací jsou chráněny pomocí kryptografických prostředků.
V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle TLP je využíváno zejména označení TLP:RED .
Likvidace/mazání na úrovni Kritická – viz příloha č. 3.

Tab. č. 2: Stupnice pro hodnocení integrity
Úroveň
Popis
Příklady požadavků na ochranu aktiva

Nízká
Aktivum nevyžaduje ochranu z hlediska integrity. Narušení integrity aktiva neohrožuje oprávněné zájmy povinné osoby.
Není vyžadována žádná ochrana.

Střední
Aktivum může vyžadovat ochranu z hlediska integrity. Narušení integrity aktiva může vést k poškození oprávněných zájmů povinné osoby a může se projevit méně závažnými dopady na primární aktiva.
Pro ochranu integrity jsou využívány standardní nástroje.

Vysoká
Aktivum vyžaduje ochranu z hlediska integrity. Narušení integrity aktiva vede k poškození oprávněných zájmů povinné osoby s podstatnými dopady na primární aktiva.
Pro ochranu integrity jsou využívány speciální prostředky, které dovolují sledovat historii provedených změn a zaznamenat identitu osoby provádějící změnu. Ochrana integrity informací přenášených komunikačními sítěmi je zajištěna pomocí kryptografických prostředků.

Kritická
Aktivum vyžaduje ochranu z hlediska integrity. Narušení integrity vede k velmi vážnému poškození oprávněných zájmů povinné osoby s přímými a velmi vážnými dopady na primární aktiva.
Pro ochranu integrity jsou využívány speciální prostředky jednoznačné identifikace osoby provádějící změnu.

Tab. č. 3: Stupnice pro hodnocení dostupnosti
Úroveň
Popis
Příklady požadavků na ochranu aktiva

Nízká
Narušení dostupnosti aktiva není důležité a v případě výpadku je běžně tolerováno delší časové období pro nápravu (cca do 1 týdne).
Pro ochranu dostupnosti je postačující pravidelné zálohování.

Střední
Narušení dostupnosti aktiva by nemělo překročit dobu pracovního dne, dlouhodobější výpadek vede k možnému ohrožení oprávněných zájmů povinné osoby.
Pro ochranu dostupnosti jsou využívány běžné metody zálohování a obnovy.

Vysoká
Narušení dostupnosti aktiva by nemělo překročit dobu několika hodin. Jakýkoli výpadek je nutné řešit neprodleně, protože vede k přímému ohrožení oprávněných zájmů povinné osoby. Aktiva jsou považována za velmi důležitá.
Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb může být podmíněna zásahy obsluhy nebo výměnou technických aktiv.

Kritická
Narušení dostupnosti aktiva není přípustné a i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení oprávněných zájmů povinné osoby. Aktiva jsou považována za kritická.
Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb je krátkodobá a automatizovaná.

Tab. 4 Oblasti hodnocení primárních aktiv
Při hodnocení primárních aktiv je potřeba posoudit alespoň relevantní z následujících oblastí
Oblast
Příklad

a) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů
Únik osobních údajů fyzické osoby.

b) rozsah dotčených právních povinností nebo jiných závazků nebo obchodního tajemství
Narušení povinnosti zveřejňovat dokumenty na elektronické úřední desce, která musí být nepřetržitě dostupná vzdáleným přístupem.
Porušení smlouvy a z ní plynoucí sankce.
Únik obchodního tajemství.
Porušení legislativy a z toho plynoucí pokuty.

c) rozsah narušení vnitřních řídicích a kontrolních činností
Neúplnost či modifikace informací potřebných pro rozhodování vedení a kontrolní činnost.

d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty
Nedostupnost informací o fakturách na základě nedostupnosti ekonomického systému.
Nedostupnost informací o možných obchodních příležitostech a z toho plynoucí ušlý zisk.
Nedostupnost např. internetových stránek, může vést k neinformování veřejnosti o důležitých skutečnostech (záplavy, ekologické katastrofy atd.).

e) dopady na poskytování důležitých služeb
Narušení všech informací a služeb vztažených směrem k regulované službě a hlavnímu business cíli (účelu existence) organizace.

f) rozsah narušení běžných činností
Narušení činností personálních, ekonomických, správy budov a autoparku, neschopnost přijímat datové zprávy apod.

g) dopady na zachování dobrého jména nebo ochranu dobré pověsti
Nedodržení závazků.
Únik interních informací.

h) dopady na bezpečnost a zdraví osob

Neschopnost zajistit základní příjem, potraviny, přístup ke zdravotní péči, svobodu apod.
Možnost zranění a ztrát na životech.

i) dopady na mezinárodní vztahy
Únik informací od zahraničních partnerů.
Únik informací od partnera, který je součástí mezinárodního koncernu.

j) dopady na uživatele regulované služby
Ztráta možnosti přístupu uživatele ke službě vlivem její nedostupnosti.

Příloha č. 2 k vyhlášce č. XX/XXXX Sb.
Určování a hodnocení rizik
(1) Jednoznačné stanovení funkce pro určení rizika je nezbytnou součástí metodiky pro hodnocení rizik podle § 9 této vyhlášky.
(2) Hodnota rizika je nejčastěji vyjádřena jako funkce, kterou ovlivňuje hodnota aktiva, hrozba a zranitelnost.
(3) Pro hodnocení rizik lze použít například tuto funkci: Riziko = hodnota aktiva × hrozba × zranitelnost.
(4) Hodnota aktiva je v tomto případě odvozena z hodnocení aktiv podle přílohy č. 1 této vyhlášky.
(5) V případě, že povinná osoba využívá na základě § 9 odst. 3 metodu pro hodnocení rizik, která nerozlišuje hodnocení hrozby a zranitelnosti, je možné stupnice pro hodnocení hrozeb a zranitelností sloučit, tzn. vytvořit scénáře kombinující hrozbu a zranitelnost. Sloučení stupnic by nemělo vést ke ztrátě schopnosti rozlišení úrovně hrozby a zranitelnosti. Za tímto účelem lze použít například komentář, který zřetelně vyjádří jak úroveň hrozby, tak i úroveň zranitelnosti. Obdobně se postupuje i v případech, kdy povinná osoba používá jiný počet úrovní pro hodnoty aktiv, hrozeb, zranitelností a rizik.
Tab. č. 1: Stupnice pro hodnocení hrozeb
Úroveň
Popis

Nízká
Hrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby není častější než jednou za 5 let.

Střední
Hrozba je málo pravděpodobná až pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 roku do 5 let.

Vysoká
Hrozba je pravděpodobná až velmi pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 měsíce do 1 roku.

Kritická
Hrozba je velmi pravděpodobná až víceméně jistá. Předpokládaná realizace hrozby je častější než jednou za měsíc.

Tab. č. 2: Stupnice pro hodnocení zranitelností
Úroveň
Popis

Nízká
Zranitelnost neexistuje nebo je zneužití zranitelnosti málo pravděpodobné. Jsou zavedena bezpečnostní opatření, která jsou schopna včas detekovat možné zranitelnosti nebo případné pokusy o jejich zneužití.

Střední
Zneužití zranitelnosti je málo pravděpodobné až pravděpodobné.
Jsou zavedena bezpečnostní opatření, jejichž účinnost je pravidelně kontrolována.
Schopnost bezpečnostních opatření včas detekovat možné zranitelnosti nebo případné pokusy o překonání bezpečnostních opatření je omezena.
Nejsou známé žádné úspěšné pokusy o překonání bezpečnostních opatření.

Vysoká
Zneužití zranitelnosti je pravděpodobné až velmi pravděpodobné. Bezpečnostní opatření jsou zavedena, ale jejich účinnost nepokrývá všechny potřebné aspekty a není pravidelně kontrolována. Jsou známé dílčí úspěšné pokusy o překonání bezpečnostních opatření.

Kritická
Zneužití zranitelnosti je velmi pravděpodobné až víceméně jisté.
Bezpečnostní opatření nejsou realizována nebo je jejich účinnost značně omezena.
Neprobíhá kontrola účinnosti bezpečnostních opatření.
Jsou známé úspěšné pokusy překonání bezpečnostních opatření.

Tab. č. 3: Stupnice pro hodnocení rizik
Úroveň
Popis

Nízké
Riziko je považováno za akceptovatelné.

Střední
Riziko může být sníženo méně náročnými bezpečnostními opatřeními nebo v případě vyšší náročnosti bezpečnostních opatření je riziko akceptovatelné.

Vysoké
Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění.

Kritické
Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění.

(6) Pokud je hodnota rizika vyšší než hranice akceptovatelnosti, je třeba implementovat vhodná bezpečnostní opatření, snížit hodnotu rizika nebo eliminovat riziko a zajistit požadovanou úroveň bezpečnosti informací. Metody pro zvládání rizik jsou následující
a) akceptace rizika,
b) redukce a eliminace rizika,
c) vyhnutí se riziku, nebo
d) přenesení nebo sdílení rizika.

Příloha č. 3 k vyhlášce č. XXXX Sb.
Likvidace informací a dat
(1) Tato příloha udává povinnosti povinné osoby k definování způsobů likvidace informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat, s ohledem na jejich hodnocení a úroveň dle přílohy č. 1.
(2) Povinná osoba stanoví pravidla a postupy pro způsoby likvidace informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat, v souladu s touto přílohou. Tím nejsou dotčeny povinnosti podle jiných právních předpisů.
(3) Pravidla a postupy pro likvidaci informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat, musí být stanovena přiměřeně dle hodnocení a úrovně aktiv a měla by zejména zohledňovat
a) hodnotu aktiva (zejména z pohledu důvěrnosti),
b) technologii (typy nosičů informací a dat),
c) zda se nosiče informací a dat nachází pod přímou kontrolou povinné osoby či nikoliv,
d) zda jsou nosiče informací a dat součástí dedikovaného nebo sdíleného prostředí,
e) jaká osoba bude likvidaci informací a dat provádět (např. interní zaměstnanec nebo dodavatel),
f) dostupnost zdrojů potřebných pro likvidaci (např. časové, personální, finanční, technické),
g) možné způsoby likvidace informací a dat nebo jejich nosičů a
h) stavu nosiče informací a dat (například při poškození nosiče nebude možné použít variantu přepisu informací a dat, ale některý ze způsobů fyzické likvidace).
(4) Způsoby likvidace informací a dat, jejich kopií a technických aktiv, která jsou nosiči informací a dat:
a) Odstranění
1. Způsob likvidace nosičů informací a dat tak, aby byla nedostupná (například odstranění datového souboru, vyhození nosiče do odpadu).
2. V případě získání nosiče informací a dat je možné s vynaložením určitého úsilí informace a data obnovit.
3. Tato metoda není vhodná pro nosiče informací a dat neumožňující opětovný zápis.
4. Použitelný způsob pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1): Nízká.
b) Přepsání
1. Způsob likvidace spočívá v opakovaném přepsání informací a dat náhodnými hodnotami.
2. . Volně dostupné nástroje neumožňují obnovení po násobném přepsání informací a dat.
3. Přepsání může být nahrazeno nebo kombinováno s bezpečnou likvidací kryptografických klíčů k zašifrovaným informacím a datům.
4. Tato metoda není vhodná pro poškozené nosiče, nosiče neumožňující opětovný zápis, případně pro nosiče s velkou paměťovou kapacitou.
5. Použitelný způsob pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1): Nízká až Vysoká.
c) Fyzická likvidace
1. Způsob likvidace spočívající ve zničení nosiče informací a dat, popřípadě v rozebrání nosiče a následného zničení (například mechanickým, či chemickým působením vč. tepelného).
2. Nosič informací a dat po fyzické likvidaci nelze znovu použít. Informace a data není možné z tohoto nosiče obnovit ani při vynaložení značného množství prostředků a úsilí.
3. Použitelný způsob likvidace pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1): nízká až kritická.

Příloha č. 4 k vyhlášce č. XXXX Sb.
Zranitelnosti a hrozby
Upozornění: Tato příloha obsahuje jen vybrané kategorie zranitelností a hrozeb. Povinná osoba určuje konkrétní hrozby a zranitelnosti podle svých potřeb a specifik. Určování konkrétních zranitelností a hrozeb je odpovědností povinné osoby.
Zranitelnosti
1. Nedostatečná údržba aktiv,
2. zastaralost aktiv,
3. nedostatečná ochrana perimetru,
4. nedostatečné bezpečnostní povědomí uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
5. nedostatečné zálohování,
6. nevhodné nastavení přístupových oprávnění,
7. nedostatečné postupy a procesy pro detekování kybernetických bezpečnostních událostí a identifikování kybernetických bezpečnostních incidentů,
8. nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit činnost, která může mít vliv na bezpečnost regulované služby
9. nedostatečné stanovení bezpečnostních pravidel a postupů, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
10. nedostatečná ochrana aktiv,
11. nevhodně navržená bezpečná architektura,
12. nedostatečná míra nezávislé kontroly,
13. neschopnost včasného odhalení pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
14. nedostatek zaměstnanců s potřebnou odbornou úrovní znalostí,
15. umístění aktiva mimo fyzickou kontrolu (např. na území cizího státu),
16. umístění aktiva na území státu o jehož právním prostředí nemá povinná osoba dostatečné povědomí,
17. zranitelnosti odhalené při skenování zranitelností a penetračním testování.

Hrozby
1. Porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
2. poškození nebo selhání technického anebo programového vybavení,
3. zneužití identity,
4. užívání programového vybavení v rozporu s licenčními podmínkami,
5. škodlivý kód
6. narušení fyzické bezpečnosti,
7. přerušení poskytování služeb elektronických komunikací, satelitních služeb nebo dodávek elektrické energie nebo jiných důležitých služeb,
8. zneužití nebo neoprávněná modifikace informací,
9. ztráta, odcizení nebo poškození aktiva,
10. nedodržení smluvního závazku ze strany dodavatele,
11. pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
12. zneužití vnitřních prostředků, sabotáž,
13. dlouhodobé přerušení poskytování služeb elektronických komunikací, satelitních služeb, dodávky elektrické energie nebo jiných důležitých služeb,
14. zaměstnanci s nedostatečnou odbornou úrovní znalostí,
15. cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik,
16. zneužití vyměnitelných technických nosičů dat,
17. napadení (odposlech, modifikace, podvržení) elektronické komunikace, satelitních služeb nebo jiných důležitých služeb,
18. závislost na dodavateli,
19. zneužití státní moci pro přístup k aktivům,
20. zpřístupnění nebo předání aktiv na základě žádosti státu.

Příloha č. 5 k vyhlášce č. XXXX Sb.
Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Tato příloha obsahuje popis doporučených požadavků pro výbor pro řízení kybernetické bezpečnosti a bezpečnostní role uvedené v § 5 a § 6.
Tab. č. 1: Výbor pro řízení kybernetické bezpečnosti
Role:
Výbor pro řízení kybernetické bezpečnosti

Klíčové činnosti:
a) Odpovědnost za celkové řízení a rozvoj kybernetické bezpečnosti v rámci povinné osoby.
b) Tvorba rámce kybernetické bezpečnosti, směrování a zásad kybernetické bezpečnosti povinné osoby (definování strategických cílů a směrování rozvoje v oblasti kybernetické bezpečnosti).
c) Definice rolí a odpovědností v rámci systému řízení bezpečnosti informací.
d) Definice požadavků na podávání zpráv a kontrolu systému řízení bezpečnosti informací.
e) Kontrola aktuálního stavu kybernetické bezpečnosti v rámci povinné osoby a zjišťování, zda dochází k naplňování plánovaných cílů.

Další podmínky:
a) Člen výboru pro řízení kybernetické bezpečnosti musí být alespoň
1. zástupce vrcholného vedení nebo jím pověřená osoba,
2. manažer kybernetické bezpečnosti.
b) Členové výboru pro řízení kybernetické bezpečnosti se pravidelně scházejí, přičemž průběh a výstupy z jednání jsou uchovávány v listinné nebo elektronické podobě.

Tab. č. 2: Manažer kybernetické bezpečnosti
Role:
Manažer kybernetické bezpečnosti

Klíčové činnosti:
a) Odpovědnost za řízení systému řízení bezpečnosti informací.
b) Pravidelný reporting pro vrcholné vedení povinné osoby.
c) Pravidelná komunikace s vrcholným vedením povinné osoby.
d) Koordinace a podílení se na procesu řízení aktiv a rizik.
e) Předkládání zpráv o hodnocení aktiv a rizik, plánu zvládání rizik a prohlášení o aplikovatelnosti výboru pro řízení kybernetické bezpečnosti.
f) Poskytování pokynů pro zajištění bezpečnosti informací při vytváření, hodnocení, výběru, řízení a ukončení dodavatelských vztahů.
g) Komunikace s Vládním nebo Národním CERT.
h) Koordinace řízení incidentů.
i) Vyhodnocování vhodnosti a účinnosti bezpečnostních opatření.

Znalosti:
a) Normy řady ISO/IEC 27000 a obdobné normy z oblasti bezpečnosti a ICT.
b) Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost.
c) Řízení rizik.
d) Řízení kontinuity činností.
e) Relevantní právní a regulatorní požadavky, zejména zákon.
f) Kontext povinné osoby.

Zkušenosti:
a) Prosazování systému řízení bezpečnosti informací.
b) Porozumění definicím rizik a rizikovým scénářům.
c) Řízení rizik v rámci povinné osoby.
d) Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.

Vzdělání a praxe:
a) Alespoň 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo
b) absolvování studia na vysoké škole a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.

Relevantní certifikace*:
Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).

Další podmínky:
a) Role není slučitelná s rolemi odpovědnými za provoz ICT a s dalšími provozními či řídicími rolemi.
b) Pro správný výkon této role je zapotřebí zajistit potřebné pravomoci, odpovědnost a rozpočet.

Tab. č. 3: Architekt kybernetické bezpečnosti
Role:
Architekt kybernetické bezpečnosti

Klíčové činnosti:
a) Odpovědnost za návrh implementace bezpečnostních opatření.
b) Odpovědnost za stanovení, dokumentování, údržbu a neustálý rozvoj vhodné bezpečné architektury regulované služby podle aktuální dobré praxe.

Znalosti:
a) Architektura informačních a komunikačních systémů a její navrhování.
b) Hardwarové komponenty, nástroje a architektury.
c) Operační systémy a software.
d) Podnikové procesy a jejich integrace a závislost na ICT.
e) Řízení bezpečnosti a rizik.
f) Bezpečnost komunikací a sítí.
g) Řízení identit a přístupů.
h) Hodnocení a testování bezpečnosti.
i) Bezpečnost provozu.
j) Základní principy bezpečného vývoje softwaru.
k) Integrace a závislosti ICT a obchodních procesů.

Zkušenosti:
a) Navrhování a implementace bezpečnostních opatření.
b) Navrhování bezpečné architektury.
c) Bezpečnost vývoje softwaru.

Relevantní certifikace*:
Certified Ethical Hacker (CEH), CompTIA Security +, Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).

Další podmínky:
Role není slučitelná s rolemi odpovědnými za provoz ICT.

Tab. 4: Auditor kybernetické bezpečnosti
Role:
Auditor kybernetické bezpečnosti

Klíčové činnosti:
a) Provádění auditu kybernetické bezpečnosti.
b) Hodnocení správnosti a účinnosti zavedených bezpečnostních opatření.

Znalosti:
a) Metodologie a rámce auditu informační bezpečnosti.
b) Procesy a postupy interního auditu.
c) Role a funkce interního auditu.
d) Proces provádění auditu ICT bezpečnosti.
e) Strategické a taktické řízení ICT.
f) Akvizice, vývoj a nasazení ICT.
g) Řízení provozu, údržby a služeb ICT.
h) Ochrana aktiv.
i) Hodnocení kybernetické bezpečnosti, metody testování a vzorkování.
j) Relevantní právní předpisy.
k) ICT bezpečnost.

Zkušenosti:
a) Plánování auditů informační nebo kybernetické bezpečnosti.
b) Provádění auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací.
c) Analyzování výsledků auditů.
d) Psaní auditních závěrů, jejich prezentace a navrhování doporučení vedoucích k nápravě nálezů.
e) Reporting stavu plnění zákonných požadavků.
f) Provádění auditů se zaměřením na ICT a informační nebo kybernetickou bezpečnost.

Vzdělání a praxe:
a) Alespoň 3 roky praxe v oblasti auditu informační nebo kybernetické bezpečnosti, nebo
b) absolvování studia na vysoké škole a alespoň 1 rok praxe v oblasti auditu informační nebo kybernetické bezpečnosti.

Relevantní certifikace*:
Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management Systém (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA).

Další podmínky:
a) Role není slučitelná s rolemi
1. výboru pro řízení kybernetické bezpečnosti,
2. manažera kybernetické bezpečnosti,
3. architekta kybernetické bezpečnosti,
4. garanta aktiva.
b) Role není slučitelná s rolemi odpovědnými za provoz ICT.

Tab. 5: Garant aktiva
Role:
Garant aktiva

Klíčové činnosti:
a) Odpovědnost za zajištění rozvoje, použití a bezpečnosti aktiva.
b) Spolupráce s ostatními osobami zastávajícími bezpečnostní role.
c) Provádění určování a hodnocení aktiv a rizik.

Znalosti:
a) Dobrá znalost aktiva, jehož je garantem.
b) Dobrá znalost interních bezpečnostních politik a metodik (například Metodika pro hodnocení aktiv a rizik).

* Certifikace může být i jiná než uvedená, jestliže certifikace dokládající odbornou způsobilost je vydána certifikačním orgánem certifikujícím osoby v souladu s požadavky normy ČSN EN ISO/IEC 17024.

Příloha č. 6 k vyhlášce č. XXXX Sb.
Řízení dodavatelů – bezpečnostní opatření pro smluvní vztahy
Obsah smlouvy uzavírané s významnými dodavateli:
a) ustanovení o bezpečnosti informací z pohledu důvěrnosti (včetně ustanovení o mlčenlivosti), integrity a dostupnosti,
b) ustanovení o oprávnění užívat data,
c) ustanovení o autorství programového kódu, popřípadě o programových licencích,
d) ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu),
e) ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že poddodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem a nebudou v rozporu s požadavky povinné osoby na dodavatele,
f) ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele (nebo odsouhlasení pro dodavatelský vztah relevantních částí bezpečnostních politik) povinnou osobou,
g) ustanovení o řízení změn,
h) ustanovení o souladu smluv s obecně závaznými právními předpisy,
i) ustanovení o povinnosti dodavatele informovat povinnou osobu o
1. kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy,
2. způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním smlouvy,
3. významné změně ovládání tohoto dodavatele podle zákona o obchodních korporacích nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy, využívaných tímto dodavatelem k plnění podle smlouvy s povinnou osobou,
4. žádosti cizozemského orgánu o zpřístupnění nebo předání dat zpracovávaných na území cizího státu, vyjma situace, kdy by takové informování bylo v rozporu s právním řádem, v jehož působnosti dochází ke zpracování dat nebo podle kterého byla žádost podána,
5. fyzických osobách přicházejících do kontaktu s důvěrnými informacemi povinné osoby (jedná se například o osoby zastávající bezpečnostní role, penetrační testery a administrátory),
j) specifikace podmínek z pohledu bezpečnosti při ukončení smlouvy, tzv. exit strategie (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu před nasazením nového řešení, migrace dat a podobně),
k) specifikace podmínek pro řízení kontinuity činností v souvislosti s dodavateli zahrnutí dodavatelů do plánů obnovy, plánů kontinuity, úkoly dodavatelů při aktivaci řízení kontinuity činností apod.),
l) specifikace náležitosti smlouvy o úrovni služeb (SLA) a způsobu a úrovni realizace bezpečnostních opatření.
m) ustanovení o dodržování pravidel bezpečného vývoje,
n) specifikace podmínek pro formát předání dat a informací po vyžádání povinnou osobou,
o) pravidla pro likvidaci dat,
p) ustanovení o právu jednostranně odstoupit od smlouvy nebo smlouvu vypovědět bez výpovědní doby v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění podle smlouvy,
q) ustanovení o sankcích za porušení povinností a
r) ustanovení o zpřístupnění nebo předání dat na základě žádosti cizozemského orgánu o zpřístupnění nebo předání dat zpracovávaných na území cizího státu
1. až po provedení přezkoumání zákonnosti žádosti,
2. až po vynaložení úsilí o zabránění zpřístupnění nebo předání dat v rámci možností daných právním řádem, v jehož působnosti dochází ke zpracování dat nebo podle kterého byla žádost podána,
3. pouze v nezbytném rozsahu.

Příloha č. 7 k vyhlášce č. XXXX Sb.
Doporučená témata pro rozvoj bezpečnostního povědomí
a) Techniky zabezpečení zařízení.
b) Firewall, antivirový program a jejich omezení.
c) Škodlivé programy a jejich projevy.
d) Rizika stahování programů a aplikací.
e) Aktualizace softwaru.
f) Rizika povolení/zakázání spouštění maker.
g) Rizika spustitelných souborů.
h) Zásady zabezpečení uživatelských účtů.
i) Používání, tvorba a správa hesel.
j) Vícefaktorová autentizace.
k) Techniky sociálního inženýrství.
l) Online identita, digitální stopa a její minimalizace.
m) Zásady práce v počítačové síti.
n) Používání vzdáleného připojení (VPN).
o) Bezpečná elektronická komunikace.
p) Bezpečnost webových stránek.
q) Zálohování, ukládání a šifrování dat.
r) Bezpečné používání přenosných technických nosičů dat.
s) Využívání cloudových úložišť.
t) Pravidla a postupy pro oznamování neobvyklého chování technických aktiv a podezření na jakékoliv zranitelnosti.
u) Základní postup reakce na kybernetickou bezpečnostní událost nebo incident.
v) Zásady bezpečného používání pracovních zařízení pro soukromé účely.
w) Zásady bezpečného používání soukromých zařízení pro pracovní účely (tzv. BYOD).
x) Osobní odpovědnost zaměstnance při dodržování zásad kybernetické bezpečnosti.
y) Aktuální hrozby v kybernetické bezpečnosti.

Příloha č. 8 k vyhlášce č. XXXX Sb.
Stanovení nezbytného rozsahu dostupnosti strategicky významných služeb
a) Odvětví 1. Veřejná správa, služba 1.1. Výkon svěřených pravomocí, bod I. písm. a) až i),
Nezbytný rozsah je tvořen primárním aktivem typu služba, jehož nedostupnost by mohla
1. vést ke zranění skupiny více než 2500 lidí nebo přímému ohrožení nebo ztrátě života skupiny více než 250 lidí,
2. vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo zpochybnění soudního řízení v rámci orgánů činných v trestním řízení,
3. zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s celostátními dopady,
4. negativně ovlivnit nebo poškodit diplomatické vztahy České republiky,
5. narušit řádné fungování části nebo celého orgánu veřejné správy, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné správy a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné správy,
6. může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností a negativní následky mohou být dlouhodobě mezinárodní,
7. vést k finančním ztrátám ve výši přesahující 10 % běžných výdajů ročního rozpočtu orgánu veřejné správy, nejméně však 10 000 000 Kč,
8. způsobit hospodářské ztráty státu ve výši alespoň 0,5 % hrubého domácího produktu, nebo
9. může dojít k rozsáhlému omezení poskytování nezbytných služeb nebo jinému závažnému zásahu do každodenního života postihujícího více než 125000 osob.
b) Odvětví 2. Energetika – Elektřina, služba 2.1. Výroba elektřiny, bod I. písm. b),
Nezbytným rozsahem je výroba ve zdroji s celkovým instalovaným elektrickým výkonem nejméně 100 MW.
c) Odvětví 2. Energetika – Elektřina, služba 2.2. Provoz přenosové soustavy elektřiny,
Nezbytným rozsahem je provoz přenosové soustavy elektřiny.
d) Odvětví 2. Energetika – Elektřina, služba 2.3. Provoz distribuční soustavy elektřiny, bod I. písm. b),
Nezbytným rozsahem je provoz distribuční soustavy elektřiny jejíž přenosová kapacita je nejméně 220 MW.
e) Odvětví 3. Energetika – Ropa a ropné produkty, služba 3.4. Provoz ropovodu, bod I.,
Nezbytným rozsahem je provoz tranzitního (se jmenovitým průměrem nejméně 500 mm) a vnitrostátního (se jmenovitým průměrem nejméně 200 mm) ropovodu.
f) Odvětví 3. Energetika – Ropa a ropné produkty, služba 3.5. Provoz produktovodu, bod I.,
Nezbytným rozsahem je provoz produktovodu se jmenovitým průměrem nejméně 200 mm.
g) Odvětví 4. Energetika – Plynárenství, služba 4.2. Provoz přepravní soustavy plynu,
Nezbytným rozsahem je provoz přepravní soustavy plynu.
h) Odvětví 4. Energetika – Plynárenství, služba 4.3. Provoz distribuční soustavy plynu, bod I.,
Nezbytným rozsahem je provoz distribuční soustavy plynu – vysokotlaký a středotlaký plynovod (NVKI).
i) Odvětví 12. Letecká doprava, služba 12.4. Řízení letového provozu nad vzdušným prostorem České republiky,
Nezbytným rozsahem je provoz služby řízení letového provozu v převážné části vzdušného prostoru České republiky podle přímo použitelného předpisu Evropské unie.
j) Odvětví 12. Letecká doprava, služba 12.9. Letové navigační služby, bod I.,
Nezbytným rozsahem je poskytování meteorologických služeb podle přímo použitelného předpisu Evropské unie.
k) Odvětví 13. Drážní doprava, služba 13.1. Stavění vlakových cest na celostátní úrovni,
Nezbytným rozsahem je poskytování služby stavění vlakových cest na celostátní úrovni.
l) Odvětví 16. Digitální infrastruktura a služby, služba 16.1. Poskytování veřejně dostupné služby elektronických komunikací, bod I. písm. c) a d),
Nezbytným rozsahem je poskytování veřejně dostupné služby elektronických komunikací podle § 2 odst. 3 písm. a) body 1 a 2 zákona o elektronických komunikacích.
m) Odvětví 16. Digitální infrastruktura a služby, služba 16.2. Zajišťování veřejné komunikační sítě elektronických komunikací, bod I. písm. c) a d),
Nezbytným rozsahem je zajišťování veřejné komunikační sítě elektronických komunikací.
n) Odvětví 16. Digitální infrastruktura a služby, služba 16.5. Správa a provoz registru internetových domén nejvyšší úrovně,
Nezbytným rozsahem je správa a provoz registru internetových domén nejvyšší úrovně.
o) Odvětví 16. Digitální infrastruktura a služby, služba 16.6. Poskytování služby cloud computingu, bod I. písm. b).
Nezbytným rozsahem je poskytování služeb státního cloud computingu podle zákona o informačních systémech veřejné správy[footnoteRef:56] pro nejvyšší bezpečnostní úroveň. [56: § 6i zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých zákonů, ve znění k 9. červenci 2024.]

Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností

Návrh
VYHLÁŠKA
ze dne dd.mm.rrrr,
o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 15 odst. 3 zákona č. [bude doplněno] Sb., o kybernetické bezpečnosti (dále jen „zákon“):
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§ 1
Předmět právní úpravy
Tato vyhláška zapracovává příslušný předpis Evropské unie[footnoteRef:57] a pro poskytovatele regulované služby v režimu nižších povinností (dále jen „povinná osoba“) upravuje [57: Směrnice Evropského parlamentu a Rady (EU) 2022/2555 ze dne 14. prosince 2022 o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 20/1972 a o zrušení směrnice (EU) 2016/1148 (směrnice NIS 2).]

a) obsah a rozsah bezpečnostních opatření a
b) způsob stanovení významnosti dopadu kybernetického bezpečnostního incidentu.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a) administrátorem privilegovaný uživatel nebo osoba zajišťující správu, provoz, použití, údržbu a bezpečnost technického aktiva,
b) bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv,
c) privilegovaným uživatelem orgán či osoba, jejichž činnost na technickém aktivu může mít významný dopad na bezpečnost regulované služby,
d) uživatelem fyzická nebo právnická osoba nebo orgán veřejné moci, které využívají aktiva,
e) vrcholným vedením statutární orgán nebo jiná osoba nebo skupina osob v obdobném postavení,
f) zajišťováním kybernetické bezpečnosti zajištění minimální úrovně kybernetické bezpečnosti aktiv povinné osoby založené na zavedení bezpečnostních opatření.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
§ 3
Povinná osoba zavede a provádí bezpečnostní opatření podle této vyhlášky v rozsahu řízení kybernetické bezpečnosti stanoveném podle § 13 zákona.
§ 4
Systém zajišťování minimální kybernetické bezpečnosti
(1) Povinná osoba v rámci zajišťování kybernetické bezpečnosti
1) zavede a provádí přiměřená bezpečnostní opatření zohledňující bezpečnostní potřeby organizace.
2) vždy zavede a provádí alespoň bezpečnostní opatření podle § 4 odstavce 2 až odstavce 7, § 5, § 6 a § 11.
(2) Povinná osoba
a) zpracuje přehled bezpečnostních opatření požadovaných touto vyhláškou podle přílohy č. 1, který obsahuje alespoň
1. přehled všech bezpečnostních opatření, která byla povinnou osobou zavedena, včetně popisu jejich zavedení,
2. přehled všech bezpečnostních opatření, která budou povinnou osobou zavedena, včetně termínů pro jejich zavedení, priority jejich zavedení, určení osoby odpovědné za jejich zavedení a
3. přehled všech bezpečnostních opatření, která nebyla zavedena, včetně odůvodnění jejich nezavedení,
b) alespoň jednou ročně provede a dokumentuje vyhodnocení účinnosti zavedených bezpečnostních opatření, včetně aktualizace přehledu bezpečnostních opatření,
c) uchovává jednotlivé přehledy bezpečnostních opatření, alespoň po dobu 4 let.
(3) Povinná osoba určí osobu odpovědnou za kybernetickou bezpečnost, která v oblasti kybernetické bezpečnosti odpovídá za řízení a rozvoj kybernetické bezpečnosti, dohled nad stavem kybernetické bezpečnosti a komunikaci s vrcholným vedením, přičemž pověřena může být osoba, která pro tuto činnost
a) bez zbytečného odkladu absolvuje odborné školení podle § 6 písm. g) nebo
b) prokáže odbornou způsobilost v oblasti kybernetické bezpečnosti.
(4) Povinná osoba v rámci zajišťování kybernetické bezpečnosti řídí bezpečnostní politiku a bezpečnostní dokumentaci, zejména
a) vytvoří a schválí relevantní bezpečnostní politiku a vede relevantní bezpečnostní dokumentaci k opatřením uvedeným v § 4 až 14.
b) pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci a zajišťuje jejich aktuálnost.
c) Povinná osoba dodržuje a vynucuje dodržování pravidel a postupů stanovených v bezpečnostní politice a bezpečnostní dokumentaci podle odst. 4 písm. a).
(5) Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti podle § 13 zákona, dále v rámci řízení aktiv stanoví a zavádí pravidla ochrany a přípustné způsoby používání aktiv.
(6) Povinná osoba při uzavírání smlouvy s dodavateli zajistí, aby smlouvy s těmito dodavateli obsahovaly relevantní oblasti uvedené v příloze č. 2 k této vyhlášce.
(7) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou technických aktiv stanoví bezpečnostní požadavky v oblasti kybernetické bezpečnosti a vymáhá jejich dodržování, přičemž vychází zejména z požadavků na bezpečnostní opatření podle této vyhlášky.
§ 5
Požadavky na vrcholné vedení
Vrcholné vedení s ohledem na zajišťování kybernetické bezpečnosti
a) je prokazatelně poučeno o jeho povinnostech a rozsahu odpovědností,
b) prokazatelně absolvuje školení podle § 6 písm. c),
c) zajistí dostupnost zdrojů potřebných pro zajišťování kybernetické bezpečnosti v souladu s přehledem bezpečnostních opatření a
d) se prokazatelně seznamuje se stavem plnění bezpečnostních opatření podle přehledu bezpečnostních opatření podle § 4 odst. 2 písm. a).
§ 6
Bezpečnost lidských zdrojů
Povinná osoba v rámci bezpečnosti lidských zdrojů
a) stanoví politiku bezpečného chování uživatelů, v rámci které zohledňuje relevantní témata uvedená v příloze č. 3 této vyhlášky,
b) stanoví pravidla rozvoje bezpečnostního povědomí uživatelů, administrátorů a osoby odpovědné za kybernetickou bezpečnost, včetně pravidel pro tvorbu hesel dle § 9,
c) zajistí poučení vrcholného vedení o jeho povinnostech, o bezpečnostní politice zejména v oblasti zajišťování kybernetické bezpečnosti formou vstupních a pravidelných školení,
d) v souladu s pravidly rozvoje bezpečnostního povědomí provádí vstupní školení v oblasti kybernetické bezpečnost,
e) v souladu s pravidly rozvoje bezpečnostního povědomí provádí pravidelná školení v oblasti kybernetické bezpečnosti,
f) vede přehledy o školeních a vede seznamy osob podle písm. c) a d), které školení absolvovaly,
g) zajistí potřebná odborná teoretická i praktická školení administrátorů a osoby odpovědné za kybernetickou bezpečnost v souladu s jejich pracovní náplní,
h) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osoby odpovědné za kybernetickou bezpečnost a
i) stanoví pravidla a postupy pro řešení případů porušení bezpečnostní politiky.
§ 7
Řízení kontinuity činností
Povinná osoba v rámci řízení kontinuity činností
a) u primárních aktiv stanoví jejich prioritu, pořadí a postupy jejich obnovy,
b) stanoví dílčí odpovědnosti a povinnosti při obnově podle písm. a) a
c) vytváří pravidelné zálohy informací, dat, konfigurací a nastavení technických aktiv nezbytných zejména pro účely obnovy regulované služby pro případ kybernetického bezpečnostního incidentu.
§ 8
Řízení přístupu
(1) Povinná osoba řídí přístup k aktivům, v rámci řízení přístupu
a) přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce, a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby,
b) řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv,
c) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě,
d) provádí pravidelné přezkoumání nastavení veškerých přístupových práv a oprávnění,
e) zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení uživatelů nebo administrátorů,
f) zajistí deaktivaci účtu a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu a
g) stanoví pravidla pro tvorbu hesel podle § 9.
(2) Povinná osoba v rámci fyzické bezpečnosti zamezí neoprávněnému přístupu ke svým aktivům a předchází poškození, krádeži, neoprávněným zásahům, zneužití aktiv a přerušení poskytování regulované služby.
§ 9
Řízení identit a jejich oprávnění
(1) Povinná osoba pro řízení identit, přístupových práv a oprávnění používá nástroj, který zajišťuje
a) řízení počtu možných neúspěšných pokusů o přihlášení,
b) opětovné ověření identity po stanovené době nečinnosti,
c) odolnost uložených a přenášených autentizačních údajů a
d) řízení přístupových práv, oprávnění pro čtení a zápis informací a dat a změnu oprávnění.
(2) Povinná osoba pro ověření identity administrátorů a uživatelů využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.
(3) Povinná osoba do doby využívání autentizačního mechanismu založeného na vícefaktorové autentizaci podle odstavce 2, využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.
(4) Povinná osoba do doby využívání autentizačního mechanismu pomocí kryptografických klíčů nebo certifikátů podle odstavce 3, využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla a stanoví pravidla, která vynucují
a) délky hesla alespoň
1. 12 znaků pro účty uživatelů,
2. 17 znaků pro účty administrátorů,
3. 22 znaků pro účty technických aktiv,
b) bezodkladnou změnu výchozího hesla pro ověření identity technických aktiv, přičemž nové heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,
c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,
d) povinnou změnu hesla v intervalu maximálně po 18 měsících,
e) neumožňující uživatelům a administrátorům
1. zvolit si jednoduchá a často používaná hesla,
2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a
3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.
(5) Povinná osoba dále v rámci řízení identit zajistí
a) důvěrnost při vytváření výchozích autentizačních údajů a při obnově přístupu,
b) změnu výchozího hesla nebo hesla sloužícího k obnově přístupu po jeho prvním použití,
c) zneplatnění hesla nebo identifikátoru sloužícího k obnově přístupu nejpozději do 24 hodin od jeho vytvoření,
d) bezodkladnou změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci a
e) zabezpečení administrátorských účtů technických aktiv určených zejména pro případ obnovy po kybernetickém bezpečnostním incidentu a využívá tyto účty pouze v nezbytně nutných případech.
§ 10
Detekce a zaznamenávání kybernetických bezpečnostních událostí
(1) Povinná osoba v rámci detekce kybernetických bezpečnostních událostí zajistí
a) ověření a kontrolu přenášených dat na perimetru komunikační sítě, včetně blokování nežádoucí komunikace,
b) nástroje pro nepřetržitou a automatickou ochranu před škodlivým kódem na relevantních technických aktivech, zejména na
1. serverech,
2. koncových stanicích,
c) řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů,
d) nepřetržité poskytování informací o relevantních detekovaných kybernetických bezpečnostních událostech a včasné varování relevantních osob a
e) pravidelnou a bezodkladnou aktualizaci nástrojů pro nepřetržitou a automatickou ochranu před škodlivým kódem a dalších detekčních nástrojů a jejich pravidel.
(2) Povinná osoba zaznamenává bezpečnostní a relevantní provozní události v souladu s odstavcem 1 a u těchto událostí zaznamenává zejména následující
a) datum a čas včetně specifikace časového pásma,
b) typ činnosti,
c) jednoznačnou identifikaci technického aktiva a identifikaci účtu původce a
d) úspěšnost nebo neúspěšnost činnosti.
§ 11
Řešení kybernetických bezpečnostních incidentů
(1) Povinná osoba v rámci řešení kybernetických bezpečnostních událostí a incidentů
a) zajistí, že uživatelé, administrátoři, osoby odpovědné za kybernetickou bezpečnost, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti,
b) vytvoří metodiku pro posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, včetně posuzování významnosti dopadu kybernetického bezpečnostního incidentu v souladu s § 15,
c) zajistí posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů v souladu s metodikou podle písmene b),
d) zajistí detekci kybernetických bezpečnostních událostí a dále při jejich detekci používá nástroje podle § 10,
e) zajistí řešení kybernetických bezpečnostních incidentů,
f) zajistí hlášení kybernetického bezpečnostního incidentu s významným dopadem podle § 16 zákona,
g) zajistí vytvoření závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu s významným dopadem podle § 17 zákona, včetně popisu příčiny vzniku kybernetické bezpečnostního incidentu s významným dopadem, pokud je známa.
§ 12
Bezpečnost komunikačních sítí
Povinná osoba pro ochranu bezpečnosti komunikační sítě, a to zejména jejího síťového perimetru
a) zajistí segmentaci komunikační sítě, včetně oddělení provozního a zálohovacího prostředí,
b) omezí odchozí a příchozí komunikaci na perimetru komunikační sítě na nezbytnou pro řádné zajištění poskytování regulované služby,
c) užívá aktuálně odolné a bezpečné síťové protokoly,
d) v případě užití vzdáleného připojení do interní komunikační sítě nebo vzdálené správy technických aktiv regulované služby
1. omezí tato připojení na nezbytně nutná,
2. zavede bezpečnostní opatření, která zajistí důvěrnost a integritu těchto vzdálených připojení a vzdálené správy a
3. má přehled o uživatelích a administrátorech, kteří tato vzdálená připojení nebo vzdálenou správu užívají.
§ 13
Aplikační bezpečnost
Povinná osoba v rámci zajištění aplikační bezpečnosti regulované služby
a) zajistí bezodkladné aplikování schválených bezpečnostních aktualizací vydaných pro technická aktiva,
b) u technických aktiv, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována
1. vede jejich evidenci,
2. zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti a
3. omezí jejich komunikaci v komunikační síti na nezbytně nutnou,
c) provádí pravidelné skenování zranitelností relevantních technických aktiv a aplikuje přiměřená bezpečnostní opatření na základě zjištěných výsledků.
§ 14
Kryptografické algoritmy
(1) Povinná osoba v rámci zajištění bezpečnostní technických aktiv a jejich komunikace
a) používá aktuálně odolné kryptografické algoritmy,
b) prosazuje bezpečné nakládání s kryptografickými algoritmy a
c) zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Úřadem, zveřejněné na jeho internetových stránkách.
(2) Povinná osoba zajišťuje bezpečnou
a) hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace, a
b) nouzovou komunikaci v rámci organizace.
ČÁST TŘETÍ
ZPŮSOB STANOVENÍ VÝZNAMNOSTI DOPADU KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU
§ 15
Stanovení významnosti dopadu kybernetického bezpečnostního incidentu
(1) Povinná osoba pro potřeby vyhodnocení významnosti dopadu kybernetického bezpečnostního incidentu na poskytování regulované služby stanoví
a) únosnou míru újmy způsobené kybernetickým bezpečnostním incidentem představující úhrn nejvyšší škody a nemajetkové újmy vzniklý v souvislosti s kybernetickým bezpečnostním incidentem, v jehož důsledku ještě nejsou ohroženy život či zdraví osob nebo schopnost poskytovatele regulované služby dostát svým závazkům,
b) oblasti pro posouzení významnosti dopadu kybernetických bezpečnostních incidentů na organizaci zohledňující
1. provozní dopad kybernetického bezpečnostního incidentu na povinnou osobu a jeho schopnost poskytovat regulovanou službu,
2. množství zaměstnanců, uživatelů regulované služby a jiných orgánů a osob zasažených kybernetickým bezpečnostním incidentem,
3. čas a zdroje potřebné k obnově poskytování zasažené regulované služby,
4. lokaci incidentu vymezující významnost části aktiv zasažených kybernetickým bezpečnostním incidentem pro poskytování regulované služby,
5. citlivost dat zasažených kybernetickým bezpečnostním incidentem a škodu či nemajetkovou újmu, jakou může porušení zabezpečení těchto dat způsobit povinné osobě či jinému orgánu nebo osobě,
6. příčinu kybernetického bezpečnostního incidentu, je-li povinné osobě známa, a to zejména zda byla přímou příčinou lidská chyba, technická závada, nebo úmysl.
(2) Dopad kybernetického bezpečnostního incidentu na poskytování regulované služby je považován za významný, pokud přesáhne povinnou osobou stanovenou únosnou míru újmy způsobené kybernetickým bezpečnostním incidentem podle odstavce 1 písm. a), a zároveň je na základě oblastí podle odstavce 1 písm. b) posouzen jako významný.
ČÁST ČTVRTÁ
ÚČINNOST
§ 16
Účinnost
Tato vyhláška nabývá účinnosti dnem dd.mm.rrrr.

Ředitel:
Ing. Lukáš Kintr v. r.

Příloha č. 1 k vyhlášce č. XX/XXXX Sb.
Název přílohy: Přehled bezpečnostních opatření
Tato příloha představuje přehled bezpečnostních opatření ve formě tabulky (Tab. 1), která má povinné osobě sloužit jako nástroj k vyhodnocení účinnosti zavedených bezpečnostních opatření za stanovené období.
Přehled bezpečnostních opatření je složen ze šesti sloupců, kdy specifika jednotlivých sloupců a možný způsob jejich vyplnění jsou uvedeny v tabulkách níže (Tab. 2 až Tab. 7). V případě sloupce „Stav bezpečnostního opatření“ jsou místo příkladů uvedeny přípustné hodnoty.

Tab. 1: Přehled bezpečnostních opatření
Vyhodnocení účinnosti zajišťování kybernetické bezpečnosti

Bezpečnostní opatření dle vyhlášky
Stav bezpečnostního opatření
Popis bezpečnostního opatření
Termín zavedení bezpečnostního opatření
Priorita zavedení bezpečnostního opatření
Odpovědnost za bezpečnostní opatření

Tab. 2: Bezpečnostní opatření dle vyhlášky
Název sloupce v Tab. 1
Bezpečnostní opatření dle vyhlášky

Popis sloupce
Příslušné bezpečnostní opatření požadované vyhláškou uvedené např. formou odkazu do vyhlášky.

Popis hodnot
Uvedené hodnoty musí splňovat základní strukturu uvádění právních předpisů, přičemž je doporučené, aby byly jednotlivé části uvedeny v logické návaznosti.

Příklad
§ 6 písm. a)

§ 9 odst. 4 písm. a) bod 2

§ 9 odst. 4 písm. a) až e)

Tab. 3: Stav bezpečnostních opatření
Název sloupce v Tab. 1
Stav bezpečnostního opatření

Popis sloupce
Popis skutečnosti, v jakém stavu je bezpečnostní opatření ve chvíli, kdy je provedeno vyhodnocení účinnosti zajišťování kybernetické bezpečnosti.

Popis hodnot
Hodnotu „zavedeno“ lze zapsat v případě, kdy bylo bezpečnostní opatření v hodnoceném období zavedeno v požadovaném rozsahu.

Hodnotu „v procesu“ lze zapsat v případě, kdy je bezpečnostní opatření (či jeho část) v hodnoceném období zaváděno, popřípadě jsou činěny doložitelné kroky k jeho zavedení (například výběrové řízení, smlouva, testovací provoz atd.)

Hodnotu „nezavedeno“ lze zapsat pouze v případě, kdy opatření zavedeno nebylo.

Přípustné hodnoty
Zavedeno

V procesu

Nezavedeno

Tab. 4: Popis bezpečnostního opatření
Název sloupce v Tab. 1
Popis bezpečnostního opatření

Popis sloupce
Stručný popis zavedení bezpečnostního opatření v návaznosti na stav, v jakém se aktuálně nachází a s přihlédnutím k prostředí povinné osoby.

Popis hodnot
Popis jednotlivých bezpečnostních opatření by měl stručně reflektovat situaci u povinné osoby (například dle názvů příslušných částí bezpečnostní dokumentace) a stav bezpečnostního opatření dle Tab. 2.

V případě bezpečnostních opatření, která jsou označena jako „v procesu“ je nutné popsat prozatímní stav, případně uvést odkaz do dokumentace, která proces zavádění dokládá.

Pokud je bezpečnostní opatření označeno jako „nezavedeno“ je nutné odůvodnit, proč zavedeno nebylo.

Příklad
Politika bezpečného chování uživatelů je v dokumentu BP04_Bezp_lidskych_zdroju v kapitole „1 - Politika bezpečného chování uživatelů“ a jsou v ní zohledněna relevantní témata z přílohy č. 4.

Dvoufaktorové ověření, založeno na OTP a PINu je zavedeno v systému ZY v testovacím provozu u zaměstnanců disponujících služebním mobilním telefonem, na kterém je nainstalována aplikace s OTP.

Bude zavedeno až po kompletní výměně koncových stanic – na aktuální hardware aplikace XZ nasadit nelze.

Není relevantní pro danou službu.

Nelze zavést na technickém aktivu XY z důvodu, že tyto aktiva tuto funkcionalitu v nepodporují.

Tab. 5: Termín zavedení bezpečnostního opatření
Název sloupce v Tab. 1
Termín zavedení bezpečnostního opatření

Popis sloupce
Plánovaný termín zavedení bezpečnostního opatření v plném rozsahu.

Popis hodnot
Tato hodnota bude vyplněna pouze v případě je-li stav bezpečnostní opatření označen jako „v procesu“ případně „nezavedeno“, ale jeho zavedení je v budoucnu plánováno či závisí na dalších okolnostech.

Příklad
leden 2025

15. ledna 2025

Q1 2025

Q1/Q2 2025

Tab. 6: Priorita zavedení bezpečnostního opatření
Název sloupce v Tab. 1
Priorita zavedení bezpečnostního opatření

Popis sloupce
Prioritizace zavádění bezpečnostních opatření s ohledem na dopad na fungování poskytované služby.

Popis hodnot
Hodnotu „nízká“ nebo „1“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla minimální a krátkodobý dopad na správné fungování regulované služby, a současně se netýká primárního aktiva.

Hodnotu „střední“ nebo „2“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla za následek vážný a dlouhodobý dopad na správné fungování regulované služby.

Hodnotu „vysoká“ nebo „3“ je možné zapsat v případě, kdy by absence zavedení bezpečnostního opatření měla okamžité a nevratné důsledky pro správné fungování regulované služby, popřípadě jsou známy úspěšné pokusy o překonání bezpečnostních opatření.

Příklad
Nízká (obdobně lze vyjádřit číselnou hodnotou, např. 1)

Střední (obdobně lze vyjádřit číselnou hodnotou, např. 2)

Vysoká (obdobně lze vyjádřit číselnou hodnotou, např. 3)

Tab. 7: Odpovědnost za bezpečnostní opatření
Název sloupce v Tab. 1
Odpovědnost za bezpečnostní opatření

Popis sloupce
Osoba odpovědná za zavedení daného bezpečnostního opatření

Popis hodnot
Je vhodné zaznamenat údaje tak, aby bylo možné jednoznačně určit odpovědnou osobu za zavedení bezpečnostního opatření, přičemž se doporučuje mimo uvedení konkrétní odpovědné osoby i uvedení nejnižší úrovně organizační složky pod niž daná osoba spadá.

Příklad
Titul, jméno, příjmení, organizační složka

Příloha č. 2 k vyhlášce č. XX/XXXX Sb.
Požadavky na smluvní ujednání s dodavateli
Obsah smlouvy uzavírané s dodavateli stanoví způsoby realizace bezpečnostních opatření a určuje obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření.
Obsah smlouvy s dodavateli:
a) ustanovení zajištující bezpečnosti informací požadavek na zajištění důvěrnosti (včetně ustanovení o mlčenlivosti), integrity a dostupnosti,
b) ustanovení o auditu dodavatele,
c) ustanovení o řetězení dodavatelů,
d) ustanovení upravující tzv. exit strategii, podmínky ukončení smluvního vztahu z pohledu bezpečnosti,
e) ustanovení o sankcích za porušení smluvních povinností,
f) ustanovení o oprávnění užívat data,
g) ustanovení o autorství programového kódu, případně o programových licencích,
h) ustanovení o důvěrnosti smluvního vztahu,
i) ustanovení upravující povinnost dodržovat pravidla pro dodavatele, se kterými byli relevantní pracovníci dodavatele prokazatelně seznámeni,
j) ustanovení o řízení změn,
k) ustanovení o kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy,
l) ustanovení upravující zajištění řízení kontinuity činností,
m) náležitosti smlouvy o úrovni služeb (SLA) a způsobu a úrovni realizace bezpečnostních opatření.
Povinné osobě je doporučeno požadovat při uzavírání smluv s dodavateli i další ujednání zohledňující specifické požadavky plynoucí ze zajištění provozních a bezpečnostních potřeb souvisejících s regulovanou službou neuvedené v této příloze.

Příloha č. 3 k vyhlášce č. XX/XXXX Sb.
Doporučená témata pro rozvoj bezpečnostního povědomí
a) Techniky zabezpečení zařízení.
b) Firewall, antivirový program a jejich omezení.
c) Škodlivé programy a jejich projevy.
d) Rizika stahování programů a aplikací.
e) Aktualizace softwaru.
f) Rizika povolení/zakázání spouštění maker.
g) Rizika spustitelných souborů.
h) Zásady zabezpečení uživatelských účtů
i) Používání, tvorba a správa hesel.
j) Vícefaktorová autentizace.
k) Techniky sociálního inženýrství.
l) Online identita, digitální stopa a její minimalizace.
m) Zásady práce v počítačové síti.
n) Používání vzdáleného připojení (VPN).
o) Bezpečná elektronická komunikace.
p) Bezpečnost webových stránek.
q) Zálohování, ukládání a šifrování dat.
r) Bezpečné používání přenosných technických nosičů dat.
s) Využívání cloudových úložišť.
t) Pravidla a postupy pro oznamování neobvyklého chování technických aktiv a podezření na jakékoliv zranitelnosti.
u) Základní postup reakce na kybernetickou bezpečnostní událost nebo incident.
v) Zásady bezpečného používání pracovních zařízení pro soukromé účely.
w) Zásady bezpečného používání soukromých zařízení pro pracovní účely (tzv. BYOD).
x) Osobní odpovědnost zaměstnance při dodržování zásad kybernetické bezpečnosti.
y) Aktuální hrozby v kybernetické bezpečnosti.

Vyhláška o Portálu Úřadu a požadavcích na vybrané úkony

Návrh
VYHLÁŠKA
ze dne dd.mm.rrrr,
o Portálu Úřadu a požadavcích na vybrané úkony
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 16 odst. 5, § 34 odst. 3 a § 45 odst. 3 zákona č. [bude doplněno], o kybernetické bezpečnosti (dále jen „zákon“):
§ 1
Portál Úřadu
(1) Přístup do Portálu Úřadu a jeho následné používání se provádí prostřednictvím internetové stránky Úřadu po přihlášení pomocí přidělených přihlašovacích údajů.
(2) Úřad v rámci Portálu Úřadu zpřístupní formuláře pro
a) ohlášení regulované služby podle § 6 zákona,
b) ohlášení změny regulované služby podle § 9 zákona,
c) žádost o zrušení registrace regulované služby § 10 zákona,
d) hlášení údajů podle § 11 zákona,
e) hlášení incidentů podle § 16 a 17 zákona,
f) hlášení provedení reaktivního protiopatření podle § 23 zákona,
g) hlášení informací o dodavatelích podle § 34 zákona, a
h) hlášení provedení nápravného opatření podle § 56 zákona.
§ 2
Druhy hlášených údajů
(1) Registračními údaji se rozumí
a) identifikační údaje poskytovatele regulované služby, kterými jsou jeho název, identifikační číslo, adresa sídla, a případně hlavní provozovny a dalších provozoven v jiných členských státech Evropské unie, a
b) seznam poskytovaných regulovaných služeb splňujících podmínky pro registraci regulovaných služeb a podmínky splněné poskytovatelem regulované služby podle vyhlášky o regulovaných službách,
(2) Kontaktními údaji se rozumí identifikační údaje fyzické osoby, která je oprávněna jednat za poskytovatele regulované služby ve věcech upravených zákonem o kybernetické bezpečnosti, její role či pracovní pozice ve vztahu k poskytovateli regulované služby, její telefonní číslo a e‑mailová adresa.
(3) Doplňujícími údaji se rozumí doménová jména, čísla autonomních systémů (ASN) a rozsahy IP adres, které jsou využívány k poskytování regulované služby, a pokud takové existují, informace o geografickém rozšíření regulované služby, jejím přeshraničním poskytování a vlastnické struktuře poskytovatele regulované služby a o jeho účasti v komunitě pro sdílení informací v oblasti kybernetické bezpečnosti.
§ 3
Hlášení kybernetického bezpečnostního incidentu
(1) Formulář hlášení kybernetického bezpečnostního incidentu poskytovatelem regulované služby obsahuje
a) identifikační údaje poskytovatele regulované služby včetně výčtu jím poskytovaných regulovaných služeb,
b) kontaktní údaje,
c) doplňující údaje k zasaženým systémům a službám,
d) informace o kybernetickém bezpečnostním incidentu, zejména datum a čas zjištění, stav incidentu, pravděpodobnou příčinu incidentu, popis incidentu, indikátory kompromitace, jsou-li tyto informace dostupné,
e) informace vymezující dopad incidentu, zejména funkční dopad, odhad rozsahu a počtu zasažených systémů, strojů, aktiv či osob, čas a zdroje potřebné k obnově poskytování zasažené služby, lokaci incidentu a citlivost zasažených dat a případný přeshraniční dopad incidentu, jsou-li tyto informace dostupné,
f) informace o reakci na kybernetický bezpečnostní incident, zejména požadovaná podpora ze strany Úřadu, přijatá a probíhající opatření ke zmírnění následků a výčet subjektů, které byly v souvislosti s incidentem informovány.
(2) Skrze formulář hlášení kybernetického bezpečnostního incidentu může poskytovatel regulované služby provést
a) prvotní hlášení podle § 16 odst. 1 zákona,
b) oznámení incidentu podle § 16 odst. 3 písm. a) zákona,
c) podání průběžné zprávy o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu podle § 16 odst. 3 písm. b) zákona,
d) podání závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu podle § 16 odst. 3 písm. c) zákona, a
e) podání průběžné zprávy o aktuálním stavu zvládání kybernetického bezpečnostního incidentu podle § 16 odst. 3 písm. c) zákona.
(3) Průběžná zpráva o podstatných změnách stavu zvládání kybernetického bezpečnostního incidentu podle § 16 odst. 3 písm. b) zákona obsahuje informace o doposud učiněných krocích ke zvládání incidentu a informace o případných nových skutečnostech.
(4) Závěrečná zpráva o vyřešení kybernetického bezpečnostního incidentu podle § 16 odst. 3 písm. c) zákona obsahuje shrnuté a aktualizované informace podle odstavce 1, zejména podrobný popis incidentu včetně jeho závažnosti a dopadu, druh hrozby nebo pravděpodobnou příčinu incidentu, učiněná a probíhající opatření ke zmírnění následků a případně přeshraniční dopad incidentu.
(5) Průběžná zpráva o aktuálním stavu zvládání kybernetického bezpečnostního incidentu podle § 16 odst. 3 písm. c) zákona obsahuje informace o doposud učiněných krocích ke zvládání incidentu, informace o případných nových skutečnostech, plánované kroky k vyřešení incidentu a vysvětlení, proč doposud nedošlo k vyřešení incidentu.
(6) Hlásí-li poskytovatel regulované služby kybernetický bezpečnostní incident v souladu s § 16 odst. 4 zákona jinak než prostřednictvím Portálu Úřadu, uplatní se obsahové náležitosti podle odstavce 1 obdobně.
(7) Hlásí-li kybernetický bezpečnostní incident prostřednictvím internetových stránek Úřadu dobrovolný ohlašovatel podle § 15 odst. 5 zákona, který není poskytovatel regulované služby, obsahuje formulář
a) identifikační a kontaktní údaje ohlašovatele či jiné kontaktní osoby,
b) identifikaci a popis informačního systému nebo služby zasažených kybernetickým bezpečnostním incidentem,
c) informace o kybernetickém bezpečnostním incidentu zejména datum a čas zjištění, druh hrozby nebo základní příčinu, která incident pravděpodobně spustila, odhad rozsahu zasažení systémů, odhad počtu zasažených uživatelů, podrobný popis incidentu a případný přeshraniční dopad incidentu, jsou-li tyto informace dostupné, a
d) informace o reakci na kybernetický bezpečnostní incident zejména stav zvládání incidentu a přijatá a probíhající opatření ke zmírnění následků.
§ 4
Obsahové náležitosti vybraných úkonů
(1) Formulář pro registraci regulované služby a pro změnu této registrace obsahuje registrační údaje.
(2) Formulář pro hlášení údajů podle § 11 zákona obsahuje
a) identifikační údaje poskytovatele regulované služby včetně výčtu jím poskytovaných regulovaných služeb,
b) kontaktní údaje, a
c) doplňující údaje.
(3) Formulář pro žádost o zrušení registrace regulované služby obsahuje
a) registrační údaje regulované služby, o jejíž výmaz je žádáno, a
b) odůvodnění žádosti o výmaz.
(4) Formulář hlášení provedení protiopatření obsahuje
a) identifikační údaje poskytovatele regulované služby včetně výčtu jím poskytovaných regulovaných služeb,
b) kontaktní údaje,
c) doplňující údaje relevantní s ohledem na obsah protiopatření,
d) identifikace protiopatření, a
e) informaci o provedení protiopatření a jeho výsledku.
(5) Formulář hlášení informací o dodavatelích obsahuje
a) identifikační údaje poskytovatele regulované služby,
b) identifikační údaje dodavatele bezpečnostně významné dodávky,
c) identifikaci bezpečnostně významné dodávky,
d) identifikaci kritické části rozsahu,
e) identifikaci regulované služby, k níž se váže bezpečnostně významná dodávka, a
f) informace o přímém nebo nepřímém vztahu s dodavatelem.
(6) Formulář hlášení provedení nápravného opatření obsahuje
a) identifikační údaje poskytovatele regulované služby včetně výčtu jím poskytovaných regulovaných služeb,
b) kontaktní údaje,
c) doplňující údaje relevantní s ohledem na obsah nápravného opatření,
d) identifikace nápravného opatření,
e) informaci o provedení nápravného opatření a jeho výsledku.
§ 5
Hlášení údajů osob poskytujících služby registrace doménových jmen
Údaje podle § 34 zákona se hlásí prostřednictvím formuláře uveřejněného na internetových stránkách Úřadu.
§ 6
Formát a struktura úkonů
Úkony dle § 45 odst. 2 zákona musí být Úřadu doručeny v otevřeném a strojově čitelném formátu.
§ 7
Účinnost
Tato vyhláška nabývá účinnosti dnem dd.mm.rrrr.

Ředitel:
Ing. Lukáš Kintr v. r.

Vyhláška o nepominutelných funkcích stanoveného rozsahu

Návrh
VYHLÁŠKA
ze dne dd.mm.rrrr,
o nepominutelných funkcích stanoveného rozsahu
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 29 odst. 4 č. [bude doplněno] Sb., o kybernetické bezpečnosti (dále jen „zákon“):
§ 1
Předmět právní úpravy
Tato vyhláška upravuje nepominutelné funkce stanoveného rozsahu pro regulovanou službu zajišťování veřejné komunikační sítě a regulovanou službu poskytování veřejně dostupné služby elektronických komunikací podle přílohy k vyhlášce č. [bude doplněno] Sb., o regulovaných službách.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí veřejnou komunikační sítí veřejná komunikační síť podle právního předpisu upravujícího elektronické komunikace[footnoteRef:58]. [58: § 2 odst. 2 písm. d) zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.]

§ 3
Nepominutelné funkce
Nepominutelné funkce podle § 28 odst. 4 zákona jsou uvedené v příloze této vyhlášky.
§ 4
Účinnost
Tato vyhláška nabývá účinnosti dnem dd.mm.rrrr.

Ředitel:
Ing. Lukáš Kintr v. r.

Příloha k vyhlášce č. [bude doplněno] Sb.
Nepominutelné funkce
Kategorie nepominutelných funkcí
Popis nepominutelné funkce

1. Nepominutelné funkce ve veřejné komunikační síti související s řízením síťových zdrojů, se směrováním a jinou kontrolou nebo řízením provozu koncových uživatelů ve veřejné komunikační síti, které mohou mít významný dopad na síťový provoz
1.1 Evidence, správa přístupu, ověřování a autorizace koncových uživatelů, přidělování síťových zdrojů koncovým uživatelům a správa připojení a relací koncových uživatelů.

1.2 Registrace, autentizace a autorizace funkcí veřejné komunikační sítě a síťových služeb.

1.3 Funkce umožňující přístup k údajům o zeměpisné poloze koncových zařízení zpracovávaných v rámci veřejné komunikační sítě nebo umožňující určení polohy zařízení pomocí prostředků veřejné komunikační sítě.

1.4 Funkce související s ukládáním síťových dat a dat koncových uživatelů.

1.5 Infrastrukturní služby nezbytné pro podporu provozu veřejné komunikační sítě a veřejné dostupné služby elektronických komunikací.

1.6 Funkce zavádějící rozhraní pro propojování mezi jednotlivými veřejnými komunikačními sítěmi nebo službami, včetně roamingu.

1.7 Funkce související s vystavováním jádra sítě externím aplikacím.

1.8 Funkce, kterými jsou veřejné komunikační sítě nebo služby propojeny, pokud může mít taková funkce významný dopad na přístup k veřejné komunikační síti nebo na síťový provoz.

1.9 Centralizované řízení šifrování veřejné komunikační sítě, funkcí veřejné komunikační sítě a provozu koncových uživatelů a šifrovacích klíčů.

1.10 Funkce zabezpečení informací ovlivňujících nepominutelné funkce veřejné komunikační sítě.

1.11 Systémy řízení veřejné komunikační sítě a monitorování této sítě, včetně řízení a monitoringu kybernetické bezpečnosti, pokud se tyto systémy týkají řízení nebo monitorování nepominutelných funkcí veřejné komunikační sítě, nebo pokud mohou mít významný dopad na přístup k síti nebo na síťový provoz.

1.12 Fakturační, podpůrné a back-end systémy, které mohou mít bezprostřední významný dopad na přístup k veřejné komunikační síti nebo na síťový provoz.

1.13 Funkce zavádějící záznam a monitorování provozních a lokalizačních údajů.

1.14 Funkce řízení rádiové přístupové sítě 2., 4. a 5. generace a řízení základnových stanic.

1.15 Funkce virtualizace, je-li použita pro implementaci nepominutelné funkce nebo opatření považovaného za nepominutelnou funkci veřejné komunikační sítě, a jakékoliv funkce a opatření spadající pod takovou virtualizaci.

2. Nepominutelné funkce sítí 4. generace – veřejná komunikační síť provozovaná s využitím standardu 3GPP LTE (Release 8 a vyšší) nebo standardem IEEE 802.16m

2.1 Registr předplatitelů, který ukládá data pro zpracování uživatelských připojení a relací [Home Subscriber Server (HSS)].

2.2 Brána poskytující spojení mezi uživatelským zařízením a externí paketovou datovou sítí [Packet Gateway (PGW)].

2.3 Brána přepojující pakety mezi vnitřní IP sítí operátora a externí IP sítí [Packet Data Network Gateway (PDN GW)].

2.4 Brána používaná k navázání spojení mezi uživateli s přístupem mimo 3GPP směřování provozu [Evolved Packet Data Gateway (ePDG)].

2.5 Funkce sloužící k řízení zásad připojení uživatelů a platby [Policy and Charging Rules Function (PCRF)].

2.6 Funkce odpovědná za správu koncového připojení a mobility [Mobile Management Entity (MME)].

2.7 Brána odpovědná za směrování provozu na uživatelské úrovni [Serving Gateway (SGW)].

2.8 Funkce předávací název centrální databáze obsahující uživatelská data funkce HSS z registru předplatitelů do dalších síťových funkcí [Subscription Locator Function (SLF)].

2.9 Registr identit zařízení obsahující informace o autorizaci k používání mobilního zařízení [Equipment Identity Register (EIR)].

2.10 Server odpovědný za ověřování a autorizaci uživatelů s přístupem mimo síť 3GPP [3GPP AAA Server].

2.11 Proxy server odpovědný za ověřování a autorizaci uživatelů s přístupem mimo síť 3GPP [3GPP AAA Proxy Server].

2.12 Funkce řídící uživatelský provoz mezi mobilní sítí a přístupovými sítěmi mimo síť 3GPP [Access Network Discovery and Selection Function (ANDSF)].

3. Nepominutelné funkce sítí 5. generace – veřejná komunikační síť vyhovující standardu sítí elektronických komunikací dle specifikace 3GPP/ETSI zahrnující minimálně standard přístupové rádiové sítě 5G NR (New Radio) v architektuře, která splňuje požadavky specifikací ETSI TS 123 501 (3GPP TS 23.501) a ETSI TS 138 401 (3GPP TS 38.401) nebo aktuálnějších.
3.1 Funkce autentizace koncových zařízení uživatelů [Authentication Server Function (AUSF)].

3.2 Funkce odpovědná za ukončení provozu v řídící rovině, registraci koncových zařízení a řízení mobility [Access and Mobility Management Function (AMF)].

3.3 Funkce sloužící k ukládání a získávání nestrukturovaných dat [Unstructured Data Storage Function (UDSF)].

3.4 Funkce umožňující poskytování funkcí jádra sítí 5. generace třetím stranám a externím aplikacím [Network Exposure Function (NEF)].

3.5 Funkce umožňující poskytování funkcí jádra sítí 5. generace třetím stranám a externím aplikacím [Intermediate Network Exposure Function (I-NEF)].

3.6 Funkce řízení dostupnosti, registrace a autorizace síťových služeb [Network Repository Function (NRF)].

3.7 Funkce odpovědná za služby a specifikace segmentace sítě [Network Slice Selection Function (NSSF)].

3.8 Funkce odpovědná za ověřování a autorizaci jednotlivých síťových segmentů [Network Slice Specific Authentication and Authorisation Function (NSSAAF)].

3.9 Funkce odpovědná za řízení provozu a zavedení politiky řízení přístupu [Policy Control Function (PCF)].

3.10 Funkce řídící uživatelské relace [Session Management Function (SMF)].

3.11 Funkce řídící přístup uživatelů a vytváření a řízení šifrovacích klíčů [Unified Data Management (UDM)].

3.12 Datové úložiště schopné ukládat a získávat informace (zejména informace o předplatitelích) [Unified Data Repository (UDR)].

3.13 Funkce odpovědná za směrování, kontrolu a řízení provozu na uživatelské datové rovině [User Plane Function (UPF)].

3.14 Funkce pro ukládání a uchovávání identifikačních dat uživatelských zařízení (tzv. radio capability ID data) [UE Radio Capability Management Function (UCMF)].

3.15 Funkce podporující rozhodování o směrování v síti [Application Function (AF)].

3.16 Registr identit zařízení či vybavení, který obsahuje informace o autorizaci k používání mobilních zařízení [5G-Equipment Identity Register (5G-EIR)].

3.17 Funkce shromažďující a analyzující data pro řízení sítě [Network Data Analytics Function (NWDAF)].

3.18 Funkce umožňující online a offline platby, které určují zejména účtování uživateli za využité služby [Charging Function (CHF)].

3.19 Směrování zpráv do ostatních síťových funkcí [Service Communication Proxy (SCP)].

3.20 Proxy server, který zajišťuje propojení s jinými sítěmi [Security Edge Protection Proxy (SEPP)].

3.21 Funkce umožňující přístup k síťovým funkcionalitám pro uživatele mimo mobilní síť [Non-3GPP InterWorking Function (N3IWF)].

3.22 Funkce umožňující připojení uživatelského zařízení k jádru sítí 5. generace prostřednictvím přístupové technologie jiné než 3GPP [Trusted Non-3GPP Gateway Function (TNGF)].

3.23 Funkce zajišťující propojení mezi kabelovou sítí a jádrem sítí 5. generace [Wireline Access Gateway Function (WAGF)].